Cryptonews

Le monde de la crypto-monnaie est ébranlé par une faille de sécurité massive qui déclenche un effet d'entraînement, suscitant les craintes d'une instabilité financière généralisée.

Source
cryptonewstrend.com
Publié
Le monde de la crypto-monnaie est ébranlé par une faille de sécurité massive qui déclenche un effet d'entraînement, suscitant les craintes d'une instabilité financière généralisée.

L'exploit de Kelp DAO, d'une valeur de 292 millions de dollars, a déclenché une vague de réactions dans l'industrie de la cryptographie, les développeurs et les commerçants avertissant que l'incident a révélé des failles plus profondes dans la façon dont la finance décentralisée (DeFi) est construite.

Les données partagées par les acteurs du marché montrent que les conséquences immédiates se sont propagées bien au-delà du protocole piraté.

"Le piratage de rsETH entraîne des retraits sur tous les protocoles de prêt, même sur Solana et les protocoles non affectés", a déclaré dimanche 0xngmi dans un article, soulignant des sorties importantes, notamment "Aave : -6 200 millions (-23 %) d'entrées nettes" et des baisses plus petites mais notables chez Morpho, Sky et JupLend. rsETH est le protocole de re-mise en jeu de l'éther de Kelp DAO et est un jeton de remise en jeu liquide (LRT) qui permet aux utilisateurs de gagner des récompenses de mise en jeu et de remise en jeu d'éther tout en gardant leurs actifs liquides, même lorsqu'ils sont bloqués dans le mise en jeu.

Cette pression s’est rapidement transformée en quelque chose de plus grave. Un article largement diffusé de Josu San Martin décrit des tensions de liquidité en cascade sur les marchés de prêts : « Les déposants de $ETH ne peuvent pas retirer le $ETH, ils empruntent donc des stables pour « retirer » des fonds… Il s'agit d'une course totale sur $AAVE.

Alors que Stani Kulechov, le fondateur d'Aave, a déclaré que l'exploit était externe et que les contrats du protocole n'étaient pas compromis, les déposants ont paniqué. La valeur totale bloquée (ou dépôts) est passée de 26,4 milliards de dollars le 18 avril à près de 20 milliards de dollars dimanche matin aux États-Unis, selon DefiLlama. Le jeton $AAVE a également chuté de plus de 18 %, alors que les déposants se sont empressés de retirer leur argent tout au long du week-end.

Une « étude de cas »

L’exploit lui-même est devenu un point central pour les ingénieurs et les développeurs.

Plusieurs développeurs ont repoussé les premières hypothèses selon lesquelles le problème provenait de l'infrastructure de base. "L'exploit KelpDAO (~ 290 millions de dollars) n'est PAS un bug du protocole LayerZero. C'est un problème de configuration et une étude de cas que chaque projet avec un jeton inter-chaîne doit examiner aujourd'hui", lit-on dans une analyse technique de Cryptogoblin.

Le fil de discussion détaillait comment un seul point de vérification avait permis l'attaque. "Une signature et 116 500 rsETH se sont matérialisés à partir de rien sur Ethereum", indique le message, décrivant un système dans lequel "les contrats [intelligents] n'ont pas été rompus. La couche de vérification l'a été", affirme le message.

D’autres ont soutenu que le problème était plus profond qu’un simple choix de configuration.

Un critique, qui s'appelle Fishy Catfish sur X, l'a présenté comme un défaut de conception, alléguant que : « il n'y a pas de niveau de sécurité… Une configuration peut être un DVN 1/1 et le DVN que vous avez choisi peut être un nœud unique géré par une seule entité. » Un DVN (Decentralized Verifier Network) dans DeFi, en particulier au sein de LayerZero V2, est une entité indépendante chargée de valider et d'attester l'authenticité des messages envoyés sur différents réseaux blockchain. Essentiellement, les DVN vérifient les hachages de messages entre une chaîne source et une chaîne de destination.

Pour clarifier les choses, l’auteur a fait une comparaison avec le monde réel : « imaginez si un fabricant de montagnes russes permettait aux parcs d’attractions de décider individuellement quelles étaient les spécifications minimales de sécurité. » Essentiellement, l’auteur dit simplement que la flexibilité sans garde-fous peut créer des risques cachés.

Le message est allé jusqu'à affirmer que la configuration était le problème dans la conception. "Personnellement, je pense qu'il s'agit d'une conception défectueuse. La sécurité modulaire est un espace de conception intéressant, cependant, la gamme de sécurité devrait avoir un plancher de sécurité natif assez solide, puis permettre une couche de sécurité *supplémentaire* en plus pour des cas d'utilisation à plus grande valeur."

« DeFi est mort »

Ce n’est pas seulement la quantité et la complexité de l’exploit qui ont suscité des critiques sévères et paniquées. L’ampleur de l’exploit a accru les inquiétudes.

Environ 116 500 rsETH, soit environ 18 % de l’offre, ont été touchés. L'attaquant a trompé la couche de messagerie inter-chaînes de LayerZero en lui faisant croire qu'une instruction valide était arrivée d'un autre réseau, ce qui a incité le pont de Kelp à libérer 116 500 rsETH vers une adresse contrôlée par l'attaquant.

Les protocoles ont réagi en gelant les marchés et en suspendant les fonctionnalités. Aave a interrompu l'activité de rsETH. Lido a suspendu les dépôts liés à l'actif. D’autres projets ont pris des mesures similaires pour limiter l’exposition à mesure que la situation évoluait.

Au-delà du débat technique, le sentiment à l’égard de la cryptographie est devenu fortement négatif. Un article a peut-être capturé le changement d'humeur en termes directs : "DeFi est mort... 'utiliser simplement aave' est mort", tout en ajoutant que "l'ère de la crypto est révolue" et en demandant : "Si vous lisez ceci, pourquoi êtes-vous toujours dans la crypto ?"

Bien que la réponse puisse ressembler à une réaction excessive, ce genre de réaction « instinctive » n’est pas inhabituel après de grands exploits, mais l’ampleur de cet événement se démarque.

L’attaque a affecté simultanément les infrastructures inter-chaînes, la révision des modèles et les marchés des prêts. Cela fait également suite à une série d’incidents récents. Le hack atterrit dans une période inhabituellement hostile pour DeFi, en particulier ce mois-ci. Le protocole perpétuel basé sur Solana Drift a été drainé d'environ 285 millions de dollars le 1er avril lors d'une attaque liée plus tard à des acteurs affiliés à la Corée du Nord, et au moins une douzaine de protocoles plus petits ont été créés.