Le cas curieux de Harvest Finance, et autre brèves

Please follow and like us:

Nous avons été honorés avec une autre «yield farming  dégen» typique qui est apparue et n’est plus pertinente cette semaine.

Pour tout comprendre sur le Yield Farming => le Yield Farming

Harvest Finance a collecté jusqu’à 1 milliard de dollars en valeur totale verrouillée avant qu’un «exploit économique» ne la fasse s’écrouler. Sa valeur verrouillée se situe désormais autour de 300 millions de dollars et les perspectives de reprise semblent sombres.

L’exploit a une fois de plus relancé les débats parmi les membres de la communauté DeFi quant à savoir si ces types d’attaques d’arbitrage basées sur des prêts flash sont en réalité des piratages.

Les caractéristiques de récolte donnent des caves agricoles similaires à celles de Yearn. Ils émettent des partages de coffre-fort à jetons en fonction de la valeur des actifs fournis par les utilisateurs. Certains de ces coffres reposent sur le pool Y de Curve, qui alimente la liquidité pour les swaps entre USDT, USDC, DAI et TUSD.

L’attaque a utilisé des prêts flash pour convertir 17 millions USDT en USDC via Curve, augmentant temporairement le prix USDC à 1,01 USD. L’attaquant a ensuite utilisé une autre réserve prêtée flash de quelque 50 millions de dollars USDC – que le système considérait comme une valeur de 50,5 millions de dollars – pour pénétrer dans le coffre-fort Harvest USDC.

Après son entrée, l’attaquant inversait le précédent échange USDC en USDT pour équilibrer le prix, puis rachèterait immédiatement ses actions des pools de Harvest pour recevoir 50,5 millions de dollars en USDC – un bénéfice net de 500000 dollars par cycle répété suffisamment de fois pour obtenir 24 dollars. millions en butin.

Alors, est-ce un hack ou pas?

Techniquement, il n’y avait aucune vulnérabilité impliquée ici. Il y a eu un contrôle contourné pour ces types de «transactions d’arbitrage» qui détecte si le prix de ces pièces stables s’écarte trop de leur valeur prévue. Mais il était déjà réglé assez bas et c’est vraiment plus un léger inconvénient qu’un véritable bloqueur – un attaquant a juste besoin d’utiliser plus de cycles d’exploitation.

Cette séquence est vertigineuse et omet encore de nombreuses étapes.

Donc, en ce sens, les partisans de la théorie selon laquelle il ne s’agit que d’un arbitrage sont corrects – il n’y a pas de comportement involontaire dans le code, c’est plus comme une manipulation de marché armée répétée à grande vitesse.

Pour tout comprendre sur les pools de liquidités => les pools de liquidités expliquées 

L’équipe Harvest Finance en a néanmoins assumé la responsabilité en tant que défaut de conception, ce qui est louable.

Honnêtement, je ne sais même pas quel est l’intérêt de ces débats sémantiques. Les gens ont perdu de l’argent de manière évitable. Un audit aurait dû le détecter et le marquer comme un problème critique.

Mais il y a certainement un argument à démontrer qu’il s’agit d’une catégorie différente des bogues comme la réentrance. Il souligne que ces éléments de base financiers – souvent appelés «argent Lego» – doivent être conçus avec le plus grand soin à la planche à dessin.

C’est comme si quelqu’un avait créé un pistolet à partir de pièces Lego et que les gens se demandaient si le pistolet avait été «créé» ou «découvert» parce que les pièces étaient techniquement assemblées comme prévu. Dans tous les cas, les pièces Lego devraient être retravaillées afin qu’elles ne puissent pas devenir une arme mortelle.

Un peu trop de confiance pour les normes cryptographiques

Avant le hack, Harvest se distinguait par son degré extrême de centralisation. À ses jours de gloire, la totalité du milliard de dollars aurait pu être volée par une seule adresse, probablement contrôlée par l’équipe anonyme derrière le projet. Quelques audits ont mis en évidence ce fait, précisant également que l’adresse était en mesure de nommer des minters et de créer des jetons à volonté.

Les fans du projet l’ont vigoureusement défendu, affirmant qu’en raison du verrouillage du temps, les détenteurs de clés de gouvernance ne pouvaient voler l’argent que 12 heures après avoir signalé leurs intentions, ou qu’ils ne pouvaient imprimer qu’un nombre limité de jetons.

Je vous laisse juger ces arguments. Le point plus large est que dans la recherche de rendement, ces «degens» ignorent les principes de base de la décentralisation et, vous savez, ce qu’est le DeFi.

Et je ne dis pas que c’est mauvais à cause de certains principes idéalistes que j’ai. C’est à cause des tirages de tapis. Ce sont les circonstances exactes qui ont conduit à des catastrophes comme UniCats.

 

L’histoire folle de bZX

En parlant de hacks, j’ai eu le plaisir d’interviewer l’équipe bZX sur leur terrible année. Ils ont subi un total de trois piratages en 2020, bien que certains d’entre eux ressemblent davantage aux «exploits économiques» mentionnés précédemment.

L’équipe n’est rien sinon dévouée. Une histoire qui n’a pas été incluse dans l’article était de savoir comment Kyle Kistner a sauté une clôture au milieu de la nuit et a pénétré par effraction dans la communauté fermée où vivait son co-fondateur Tom Bean. Il y avait apparemment un bug qui devait être corrigé littéralement dès que possible.

À en juger par l’histoire, être développeur DeFi n’est pas pour les âmes sensibles, ni pour les personnes qui aiment dormir.

Bien sûr, on ne peut s’empêcher de remarquer que bZX a été exploité un peu trop souvent. En tant qu’ancien chasseur de bugs bounty, je pouvais certainement voir à quel point leurs pratiques de sécurité étaient médiocres plus tôt dans l’année – le programme de bug bounty était plutôt mauvais, par exemple – mais j’ai également vu comment ils ont corrigé nombre de leurs erreurs. Il y a peut-être d’autres problèmes sous-jacents, mais je pense qu’ils pourraient éventuellement rebondir si plus aucun incident ne se produit.

La menace DeFi pour le stacking

Un rapport ConsenSys met en évidence un problème qui a en quelque sorte été ignoré jusqu’à présent, qui est essentiellement le coût d’opportunité du jalonnement dans un environnement DeFi.

L’idée est assez simple: l’argent chasse les rendements les plus élevés, et DeFi semble en offrir beaucoup ces jours-ci. Même quelque chose de relativement apprivoisé comme 20% APY pourrait battre le potentiel de 8% environ en jalonnant et en validant Ethereum 2.0.

Ce problème est encore plus aggravé lorsque vous considérez que la phase 0 d’Ethereum ne vous permettra pas de retirer ou de transférer les jetons que vous avez engagés jusqu’à ce que la phase 1 ou 2 arrive. Vous faites essentiellement le pari que l’équipe expédiera une mise en œuvre complète dans un délai raisonnable, et vous n’êtes pas vraiment récompensé pour le risque.

Dans ce scénario, plus DeFi est populaire, moins le réseau est sécurisé, et c’est un gros problème.

Heureusement, il est en grande partie résoluble par le biais de dérivés de jalonnement – des jetons liquides adossés à des garanties utilisées pour le jalonnement, une sorte d’IOU Ether. Il y a des risques en jeu – à savoir que la garantie sous-jacente pourrait être réduite et que les IOU auraient soudainement moins de valeur. La bonne chose pour le réseau est que seul DeFi est affecté dans ce cas, rétablissant la hiérarchie naturelle de l’importance.

Mais cela met en évidence le nombre d’interactions involontaires qui pourraient se produire à l’avenir. DeFi peut déjà devenir extrêmement complexe, et si les gens ne le comprennent pas pleinement, les conséquences pourraient être terribles.

Crédit: Lien source

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *