Face à la crise de Curve, sommes-nous impuissants ? Stratégies de réponse du point de vue du minage DeFi
TechFlow SélectionTechFlow Sélection
Face à la crise de Curve, sommes-nous impuissants ? Stratégies de réponse du point de vue du minage DeFi
Comment se prémunir contre des risques potentiels similaires lors du minage DeFi au quotidien ?
Dédié à des analyses Web3 approfondiesAuteur : Luke (passionné de DeFi, responsable produit Cobo Argus)
Le monde du DeFi traverse actuellement une crise majeure suite à la dernière attaque subie par Curve. Depuis l'attaque du 30 juillet, le prix du CRV est passé de 0,74 USDT à moins de 0,5 USDT, reprenant légèrement aujourd'hui pour se stabiliser au-dessus de 0,6 USDT. Bien que l'on sache désormais que cette attaque était due à un bogue dans l'ancienne version du langage de programmation Vyper d'Ethereum, la crise que traverse Curve n'est pas encore terminée.
Étant donné que le fondateur de Curve détient une grande quantité de CRV mis en gage sur la chaîne pour emprunter, une baisse supplémentaire du prix pourrait entraîner une liquidation massive de CRV, provoquant une série de liquidations en chaîne, et il n'est pas impossible que le prix du CRV tombe à zéro. En tant que l'un des plus grands protocoles du domaine DeFi, cette nouvelle crise affaiblit gravement la sécurité et la crédibilité du DeFi, ce qui pourrait avoir de nombreuses conséquences négatives sur son avenir.
Dans cet article, j'aborde uniquement la question de la prévention des risques potentiels similaires lors du minage DeFi, ainsi que des solutions et outils praticables, du point de vue d'un mineur DeFi.
Contexte de l'événement
Tout d'abord, passons en revue rapidement la chronologie de la crise de Curve.
30 juillet, 21h34 : le pool pETH-ETH de Curve subit une attaque, le prix du pETH chute à 383 $. À 22h50, le pool msETH-ETH de Curve est attaqué. À 23h34, le pool alETH-ETH de Curve est attaqué.
31 juillet, 0h44 : Vyper, le langage de programmation d'Ethereum, tweete que les verrous contre les réentrées ont échoué dans les versions 0.2.15, 0.2.16 et 0.3.0 de Vyper.
0h45 : Curve annonce via Twitter qu'en raison de la défaillance du verrou de réentrée, les pools de stablecoins utilisant Vyper 0.2.15 (alETH/msETH/pETH) ont été attaqués, tandis que les autres pools sont sécurisés.
3h08 : le pool CRV-ETH est attaqué, le prix du CRV sur la chaîne chute à environ 0,08.
16h41 : Curve tweete une recommandation aux utilisateurs de retirer leur liquidité du pool Tricrypto sur Arbitrum, bien que celui-ci n'ait pas été attaqué, il pourrait être exposé à des risques.
Suite à l'attaque contre Curve, de nombreux événements anormaux sont apparus sur la chaîne : effondrement du prix du CRV, panique liée à la possible liquidation des positions d'emprunt de mich, poussant les utilisateurs à retirer leur liquidité d'Aave, ce qui a fait grimper anormalement les taux d'intérêt du USDC et du USDT. Le monde du DeFi est entraîné dans une série de risques connexes.
Analyse des causes
Ce sinistre est particulier en ce sens qu'il découle d'un bogue au niveau du langage du contrat intelligent, rendant inefficaces les défenses contre les réentrées de plusieurs projets célèbres. Heureusement, c'est Vyper et non Solidity qui a eu le problème ; sinon, tout l'écosystème DeFi aurait pu être menacé.
Le DeFi, grâce à ses faibles coûts de friction, sa composable et ses rendements supérieurs à ceux du monde traditionnel, attire de nombreux utilisateurs. Pourtant, la sécurité des portefeuilles et celle des contrats intelligents restent des épées de Damoclès suspendues au-dessus du DeFi.
Les accidents récents touchant de vieux protocoles reconnus comme Euler ou Curve commencent à faire perdre confiance à de nombreux adeptes du DeFi. Lorsqu'un protocole présente un dysfonctionnement, c'est souvent tout le capital investi qui est perdu. Outre les risques liés aux contrats intelligents, on retrouve aussi ceux liés au phishing ou à la fuite des clés privées. Comment concilier sécurité et efficacité dans les activités DeFi reste un défi persistant pour le secteur.
L'équipe Cobo est active depuis longtemps dans le domaine du DeFi et est réputée pour son attention à la sécurité. Au sein de Cobo, une solution interne a été développée pour répondre aux divers problèmes de sécurité du DeFi. Cette solution interne a désormais été industrialisée et proposée au public sous la forme de Cobo Argus, une solution adaptée aux cas d'usage du DeFi, dont la nouvelle version a rapidement atteint un TVL de 100 millions de dollars.
Stratégies de réponse
Face à des événements tels que celui survenu hier soir chez Curve, une prévention proactive est presque impossible. Pour un mineur DeFi ordinaire, la seule option consiste à détecter rapidement le problème et à agir immédiatement. Dans ce cas, l'utilisation d'outils comme Cobo Argus peut s'avérer extrêmement utile. La fonctionnalité « robot de retrait » offerte par Cobo Argus surveille les indicateurs de risque sur la chaîne et permet aux utilisateurs de se retirer automatiquement dès qu'une anomalie est détectée.
Voici comment utiliser concrètement le robot de retrait de Cobo Argus dans le cas de Curve :
Lorsque les pools mentionnés ci-dessus de Curve rencontrent des problèmes, deux signaux clairs apparaissent :
1. Un fort désancrage des actifs liés ;
2. Une forte baisse du TVL due aux attaques de hackers et aux retraits massifs des gros détenteurs.
En utilisant Cobo Argus, nous pouvons configurer ces deux indicateurs de surveillance : suivre la part d'un jeton spécifique dans le pool LP, ainsi que comparer le montant investi par l'utilisateur au volume total du pool LP. Ainsi, toute anomalie peut être détectée immédiatement, et le robot retire automatiquement le capital.
Habituellement, la plupart des utilisateurs apprennent les risques via les alertes lancées sur Twitter par des « chapeaux blancs », mais cela peut intervenir plusieurs heures après le début de l'attaque, moment où il est déjà trop tard pour sauver son capital.
En revanche, surveiller les indicateurs de risque sur la chaîne via un robot permet de se retirer automatiquement dès les premiers signaux, sauvant efficacement les actifs des utilisateurs.
Les attaques de hackers, le désancrage des jetons, les ruées sur les protocoles de prêt... Tous ces événements de risque peuvent être surveillés via des indicateurs spécifiques. Cobo Argus permet également aux utilisateurs de créer leurs propres robots personnalisés, définissant eux-mêmes les indicateurs de surveillance et les actions contractuelles à déclencher.
Pour les utilisateurs experts ayant de solides connaissances en DeFi, il est possible de personnaliser les seuils de surveillance et les actions des robots, et en théorie, de les utiliser sur n'importe quel protocole DeFi. Récemment, dans la communauté Cobo Argus, un utilisateur a réussi à sauver ses actifs d'un protocole de prêt grâce à un robot personnalisé.
Toutes ces fonctionnalités sont décentralisées et sans confiance : les robots sont maintenus par Cobo, mais ne peuvent exécuter que les opérations DeFi autorisées par les utilisateurs, sans pouvoir outrepasser leurs droits. Toutes les autorisations sont enregistrées dans un contrat intelligent non mis à jour, dont le code et les journaux d'autorisation sont entièrement transparents sur la chaîne, auditables par tous.
Précisons que les contrats intelligents de Cobo Argus reposent sur la fonctionnalité Plugin de Safe{Wallet}. Safe{Wallet} est le portefeuille multisignature le plus grand, avec le TVL le plus élevé, et considéré comme le plus sûr de l'écosystème Ethereum. La plupart des protocoles DeFi utilisent Safe{Wallet} pour gérer leurs trésoreries. Les Plugins représentent la toute dernière capacité offerte par Safe{Wallet}, permettant aux développeurs tiers d'étendre ses fonctionnalités en créant leurs propres modules.
Cobo collabore étroitement avec l'équipe de Safe{Wallet} et a développé Cobo Argus très tôt grâce à la fonctionnalité Plugin. Sur la base de Safe{Wallet}, Cobo Argus propose une série de solutions adaptées aux scénarios DeFi :
-
Autorisation DeFi : permet d'accorder à une adresse spécifique le droit d'exécuter certaines opérations sur des protocoles DeFi via une signature unique. Bien que l'utilisation de Safe{Wallet} combiné à un portefeuille matériel soit sûre, elle est souvent inefficace et fastidieuse, inadaptée aux opérations fréquentes en DeFi. En période de crise, cette lenteur peut s'avérer fatale.
En accordant des droits spécifiques à une adresse pour une exécution simple, l'efficacité est améliorée sans compromettre la sécurité, car cette adresse ne peut effectuer que les opérations autorisées, sans possibilité de transfert ni d'action non autorisée.
La fonction d'autorisation de Cobo Argus permet d'éviter les erreurs dues au phishing, la perte totale de fonds liée à la fuite de clés privées de portefeuilles chauds, ou encore le détournement de fonds par un membre malveillant de l'équipe.
-
Robot DeFi : basé sur la fonction d'autorisation, Cobo Argus propose une fonction de robot permettant aux utilisateurs d'accorder à un robot des droits spécifiques sur des protocoles DeFi afin d'automatiser certaines actions, comme le retrait automatique de récompenses, la vente et le réinvestissement automatiques, ou le retrait automatique du capital.
Actuellement, de nombreuses équipes de gestion d'actifs DeFi et de gros acteurs individuels utilisent Cobo Argus, améliorant ainsi à la fois l'efficacité et la protection des actifs. Récemment, des projets comme Solv et izumi ont adopté Cobo Argus comme outil fondamental de sécurité et de partage des responsabilités. À l'avenir, Cobo continuera d'innover pour protéger les utilisateurs ordinaires et les développeurs du secteur, contribuant ainsi au progrès et à l'innovation de l'industrie.
En conclusion, bien que le DeFi garde un potentiel immense à long terme, participer au minage dans ce monde implique toujours des risques potentiels. Il faut donc y aller avec prudence. Comme dit le proverbe : « Qui veut bien travailler doit d'abord aiguiser ses outils ». Tout en restant vigilant et en accumulant de l'expérience, les mineurs DeFi peuvent aussi tirer parti d'outils performants pour mieux se préparer face aux différents risques.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@0xLukeCrypto
