Si les gens utilisaient réellement une assurance contre les piratages, cette semaine aurait certainement mis en faillite un grand nombre d’assureurs. Un total de quatre exploits activés par les prêts flash ont été enregistrés en l’espace d’une semaine (l’un d’eux s’est en fait produit la semaine précédente, mais personne ne l’a remarqué que plus tard).
Nous avons, dans l’ordre, Cheese Bank avec un vol de 3,3 millions de dollars, Akropolis avec sa perte de 2 millions de dollars, Value DeFi avec un énorme exploit de 6 millions de dollars, et enfin la perte de 7 millions de dollars de Origin Protocol.
Au total, les pirates ont volé 18,3 millions de dollars, ce qui n’est certes pas tant que ça – moins que l’exploit d’octobre de Harvest Finance.
Comme toujours, les commentaires les plus courants sur le sujet sont «ont-ils été audités?» et « les prêts flash sont mauvais. » Maintenant, en termes d’audit, j’ai pu trouver des rapports pour tous sauf Cheese Bank (peut-être qu’il a été examiné, ce n’est tout simplement pas immédiatement évident).
Je me sens comme un record battu maintenant, mais les gens doivent vraiment comprendre que les audits seront toujours limités dans leur efficacité. Les entreprises de sécurité n’ont tout simplement pas assez d’yeux et de temps pour tout trouver.
Si vous voulez pointer quelque chose, je me concentrerais sur le fait qu’aucun de ceux-ci, à l’exception d’Akropolis, n’avait de prime de bogue immédiatement détectable. Même dans ce cas, étant donné à quel point il est facile de voler de l’argent en crypto, ces projets devraient être beaucoup plus compétitifs avec leurs paiements que tout autre secteur. Les audits, qui coûtent apparemment plus de 200 000 $ si vous voulez une qualité supérieure, ne semblent pas être l’utilisation la plus efficace de l’argent.
De toute évidence, les primes ne transformeront pas soudainement les hackers blackhat en citoyens honnêtes, mais cela pourrait changer la vie d’un pauvre enfant qui le fait pour gagner sa vie et décide de scanner votre protocole pour son billet de loterie. Ils seraient plus qu’heureux de recevoir 100 000 $ et d’avoir la conscience tranquille tout en vous faisant économiser des millions de dollars sur toute la ligne.
Les prêts flash sont difficiles, mais équitables
En ce qui concerne les prêts flash, je pense qu’ils sont le meilleur outil pour augmenter l’efficacité du marché DeFi que nous avons en ce moment. Leur utilisation prévue est d’arbitrer divers actifs à travers les protocoles – achetez bas sur Uniswap, vendez haut sur SushiSwap, le tout sans engager votre propre capital. Ils sont également utiles pour dénouer rapidement vos positions sur les protocoles de prêt, et je suis sûr qu’il existe d’autres utilisations. En bref, ils sont assez bons.
Et oui, les prêts flash simplifient les hacks. Mais notez que tout ce qui peut être fait avec un prêt flash peut également être fait avec une grosse pile d’argent. Les pirates informatiques ne sont peut-être pas aussi riches en général, mais il est en fait préférable pour l’écosystème d’éliminer les implémentations et les protocoles faibles avant de se développer pour accueillir un piratage d’un milliard de dollars.
C’est vraiment douloureux d’être la cible d’un piratage, mais c’est aussi un risque connu qui doit être géré. Parfois, cela peut simplement être de la malchance, mais cette explication ne doit être utilisée que lorsque toutes les stratégies d’atténuation possibles ont été épuisées. J’espère que chaque protocole piraté prendra des mesures pour que cela ne se reproduise plus. Sinon, les hacks se poursuivront jusqu’à ce que la sécurité s’améliore ou jusqu’à ce que le protocole soit mort.
Les DEX se disputent les miettes laissées par Uniswap
Uniswap, à un moment donné le plus grand protocole en valeur totale verrouillée avec 3 milliards de dollars, en a perdu plus de la moitié dès qu’il a cessé d’imprimer des récompenses UNI pour ses pools Ether.
La majeure partie de cette somme a été transférée à SushiSwap, qui est passée d’environ 200 millions de dollars à 1 milliard de dollars en TVL. Effrontément, le projet a déplacé ses incitations à l’agriculture de rendement vers les mêmes pools utilisés par Uniswap juste un jour avant l’expiration.
Ensuite, Bancor a intensifié son action en lançant son propre programme d’extraction de liquidité, suivi de Mooniswap aujourd’hui. Les deux derniers semblent avoir des résultats modestes, ajoutant peut-être 10 millions de dollars chacun jusqu’à présent.
Nous assistons donc certainement à une concurrence assez agressive dans cet espace, alimentée par beaucoup d’impression de jetons.
Mais ma thèse de la semaine dernière semble être la plupart du temps correcte – Uniswap s’en fiche. 1,3 milliard de dollars sans aucune subvention est un résultat assez étonnant. C’est plus de six fois plus élevé qu’avant le début de toute cette saison de production. Le volume reste également stable.
La fortune d’Uniswap pourrait bien sûr changer à l’avenir à mesure que le marché continue de se réajuster. Quoi qu’il en soit, je pense que c’est à la fois un bon et un mauvais signe pour l’avenir. D’une part, nous constatons une adhérence à long terme assez claire après l’agriculture de rendement – ce qui prouve qu’il est au moins assez efficace pour générer un intérêt biologique.
D’un autre côté, nous constatons que l’agriculture de rendement est quelque peu réussie, elle peut donc rester un aliment de base à long terme du monde DeFi. Le concept a des mérites, mais cet été a montré que les gens ne comprennent souvent pas dans quoi ils s’embarquent.
En guise d’avertissement, chaque fois qu’un jeton d’un protocole DeFi peut être jalonné pour recevoir plus des mêmes jetons, c’est une dynamique très claire de type Ponzi. C’est un jeu dangereux à jouer, il suffit de demander aux gens qui ont acheté SUSHI à 11 $. Vous pourriez affirmer que le jalonnement d’Ethereum 2.0 est le même, ce qui réfute apparemment ma thèse. La différence est que les rendements beaucoup plus sains évitent les énormes cycles d’expansion et de récession typiques de nombreux «lancements équitables» de DeFi.
Les liquidateurs des créateurs se relâchent
Un autre problème souligné cette semaine était le fait que les gardiens de Maker – les agents responsables de la liquidation des créances irrécouvrables – se sont avérés éviter complètement les petits prêts sous-garantis. Il semble que l’ouverture d’un coffre-fort pour 100 $ soit tellement inintéressant pour eux qu’ils l’ignoreront même s’il tombe en dessous du seuil de sécurité qui leur permettrait de le liquider.
Il est assez facile de comprendre pourquoi. Les liquidateurs obtiendraient une remise de peut-être 5%, de sorte que leur profit théorique n’est que de 5 $, facilement absorbé par les frais de gaz.
Ouvrir des milliers de petits coffres n’est pas si coûteux et pourrait entraîner une vulnérabilité dangereuse pour Maker. Les gardiens rationnels ne liquideraient jamais cette dette, surtout si elle était laissée pourrir et tomber de manière décisive sous le seuil de garantie de 100%.
Cela créerait Dai non soutenu d’une manière très similaire à Black Thursday. Je suis sûr qu’en pratique, certaines parties prenantes agiraient de manière altruiste pour liquider la dette à perte avant qu’il ne soit trop tard. De plus, le système est conçu pour être renfloué dans ces situations, comme nous l’avons vu avec les enchères MKR après l’incident du début de l’année.
Mais cela et la vulnérabilité de prêt flash de quelques semaines plus tôt signalent qu’il y a des problèmes au paradis. Par exemple, l’une des raisons pour lesquelles la communauté a refusé d’indemniser les victimes du Jeudi noir est qu’il était considéré comme un échec du marché, et non du système d’enchères.
Cela a du sens, mais cette dernière découverte a poussé la communauté à corriger le problème en attendant une légère refonte du système d’enchères. Cela trahit une certaine dissonance cognitive – ils disent que le système «fonctionnait bien» plus tôt, et pourtant il doit maintenant être modifié en raison d’une défaillance similaire du marché.
Personnellement, je trouve la gouvernance Maker fascinante et unique parmi ses pairs. Ils ont dû faire face à des choix très difficiles cette année qui vont bien au-delà de la modification des paramètres de garantie arbitraires.
Je ne suis pas vraiment d’accord avec certains de ces choix. Je pense vraiment que la décision de ne pas rembourser les victimes du jeudi noir était à courte vue, même si c’était peut-être le produit d’une méfiance mutuelle étant donné le recours collectif qui pèse sur leur tête.
Mais c’est la nature humaine, et je m’attends à ce que la gouvernance DeFi finisse par passer par bon nombre des leçons que l’histoire nous a servies. Certaines personnes ont de grands espoirs que la gouvernance DeFi remodèle les sociétés simplement parce qu’elle est «décentralisée». J’espère que ce sera le cas, mais jusqu’à présent, je ne vois que votre politique banale, avec des intérêts particuliers, de la propagande et des détournements.
Crédit: Lien source
Laisser un commentaire