Réfléchir sur l'incident Curve : comment la DeFi s'est-elle redressée au bord de l'effondrement ?
TechFlow SélectionTechFlow Sélection
Réfléchir sur l'incident Curve : comment la DeFi s'est-elle redressée au bord de l'effondrement ?
Ceux qui disent « le DeFi est mort » ont tort ; en réalité, il est plus fort que jamais.
Dédié à des analyses Web3 approfondiesRédaction : DEFI DAVE
Traduction : TechFlow
Le serpent occupe une place particulière dans l'inconscient collectif humain. Il symbolise la transformation, la renaissance, l'immortalité et la guérison. Cette semaine pourrait bien marquer la propre renaissance du DeFi. Une vulnérabilité toxique de type 0-day s'est infiltrée au cœur du compilateur du langage de programmation Vyper, provoquant des répercussions en cascade à travers toute la pile technologique et les marchés, attirant aussitôt les vautours spéculateurs.
En tant que pilier central du DeFi, Curve Finance a été au cœur de cet événement, poussant le protocole vers son test le plus difficile à ce jour, nécessitant des mesures sans précédent pour limiter les dommages causés par cette faille potentielle. Sur la blockchain, des « chapeaux blancs » se sont affrontés férocement aux hackers, tentant de récupérer les pertes tandis que ces derniers cherchaient à extraire des liquidités valant plusieurs millions de dollars. Parallèlement, des bâtisseurs tels que Michael Egorov, fondateur de Curve, ont tenu bon, mobilisant un mécanisme d'incitation innovant fourni par leur partenaire proche Frax, combiné à des transactions hors chaîne avec certains alliés, sauvant apparemment le token CRV d'un effondrement en spirale mortelle.
Comme lors de chaque crise, les protocoles ont subi un test de résistance dans des conditions extrêmes. Ceux qui survivent en sortent renforcés ; ceux qui ne survivent pas disparaissent. La finance décentralisée n'est pas étrangère à la disparition soudaine de dizaines de milliards de dollars, comme cela avait été le cas l'année dernière avec Terra Luna. Même si nous parlons de protocoles, ceux-ci sont composés d'humains. En ces moments difficiles, nous avons vu émerger une solidarité collective, exposée au regard du monde entier, où tout peut basculer entre triomphe retentissant ou extinction totale.
Alors que la fumée de la bataille commence enfin à se dissiper, il est temps de réfléchir à ce qui s'est produit, pourquoi cela s'est produit, et ce que cela signifie pour l'avenir du DeFi. Sans aucun doute, même si le pire semble désormais derrière nous, une introspection s'impose.
Le fantôme (oublié) dans la machine
Vyper est un langage de programmation destiné à la Machine Virtuelle Ethereum (EVM), lancé en 2017. Moins populaire que Solidity, Vyper apporte une diversité linguistique essentielle à l'écosystème EVM, cruciale pour éviter la monoculture. Je n'ose imaginer à quel point la situation serait pire s'il n'existait qu'un seul langage. Quoi qu’il en soit, Curve utilise Vyper pour créer et déployer ses contrats intelligents. Pour souligner son importance, la communauté Curve a d’ailleurs approuvé l’année dernière une évaluation fournisseur destinée à financer le développement de Vyper.
La racine du problème réside finalement dans l'absence d'incitations adéquates pour auditer les compilateurs. Un compilateur est un logiciel magique transformant le code informatique écrit par des humains en instructions lisibles par les machines. Ces outils résident dans une couche de la pile souvent considérée à tort comme intrinsèquement sûre, et donc négligée par les auditeurs focalisés sur les contrats intelligents. De plus, comparé à Solidity, la structure de Vyper rend le code plus lisible, facilitant ainsi la découverte de vulnérabilités. Dans les jours suivant le piratage de Vyper, les membres de la communauté ont lancé plusieurs appels afin de mettre en place des incitations appropriées pour prévenir la récurrence de telles failles.
Pour les hackers, en revanche, la motivation est claire : ils plongent profondément dans la machine virtuelle à la recherche de gains potentiels, car les opportunités de récompenses sur des protocoles vulnérables deviennent de plus en plus rares. Pendant plusieurs années de marché haussier, des projets méconnus ont accumulé des valorisations (TVL) atteignant des centaines de millions de dollars, devenant ainsi des cibles très attrayantes. Face à la raréfaction des opportunités, les opérateurs les plus aguerris ont dû innover, jusqu’à explorer un lieu souvent oublié : le compilateur.
Pour mesurer combien de temps cette vulnérabilité est restée ignorée, elle existait depuis 2021 et n’a été accidentellement corrigée qu’avec la dernière version 0.3.1 de Vyper. Toutefois, les pools de liquidité contenant de l’ETH natif et écrits avec les versions 0.2.15, 0.2.16 et 0.3.0 continuaient de fonctionner. La première attaque a eu lieu le week-end dernier, et à la fin, 69 millions de dollars avaient été volés. Les pools les plus touchés étaient ceux de JPEG’d, Alchemix, Metronome, et même Curve lui-même.
Face à une vulnérabilité, le temps est critique, et la confidentialité l’est encore plus. En période de crise, les chapeaux blancs se sont unis pour trouver une solution. Des héros sont apparus, comme 0xc0ffeebabe, dont les efforts ont permis de récupérer des millions de dollars. Malheureusement, tout le monde n’était pas du même côté. Comme l’a souligné Robert Chen, auditeur chez Otter Sec : « Les auditeurs ne paient pas pour les externalités générées par leurs rapports. Au contraire, ils sont récompensés par des likes, des retweets et de la visibilité. » Ici encore, les incitations jouent un rôle central, mais plutôt que de chercher à restaurer les fonds, les auditeurs semblent valoriser davantage la viralité que la récupération.
Les requins autour du CRV
CRV est un jeton de gouvernance étroitement lié au protocole Curve. Son importance réside dans les comportements qu’il incite : la profondeur des liquidités. Ceux qui verrouillent leur CRV en veCRV peuvent voter sur la direction des récompenses accordées aux fournisseurs de liquidités (LP). Ce modèle novateur a posé les bases d’un écosystème complexe d’incitations au vote, aidant Curve à gagner le surnom de « trou noir de liquidité ».
Parmi les pools les plus affectés par la faille Vyper figure celui du couple CRV/ETH sur Curve, principale source de liquidité du CRV sur chaîne. Cela semblait poser problème à Michael, détenteur d’une importante quantité de CRV personnel, ainsi que de la majeure partie des offres sur divers protocoles de prêt comme Fraxlend, AAVE ou Abracadabra. S’il était liquidé, cela ferait chuter le CRV vers zéro, mettant en désordre tout l’appareil d’incitation construit par Curve.
Michael n’est pas novice en gestion de positions de prêt. En effet, selon les données de Curve Cap, Michael exploite les marchés monétaires sur chaîne depuis 2018 sans jamais avoir été liquidé, pas une seule fois. C’est précisément grâce à ses interactions avec les protocoles de prêt qu’il a été inspiré pour créer Curve, permettant des échanges fluides entre stablecoins, ce qui l’a ensuite conduit à déployer crvUSD, offrant un mécanisme de liquidation plus doux. À présent, alors que des requins rôdent autour de ses positions de garantie affaiblies, Michael doit agir rapidement pour empêcher qu’ils ne dévorent sa position en CRV. Et il fait ce qu’il fait de mieux.
Parmi tous ses prêts, la priorité absolue était sa position sur Fraxlend. Michael y avait un prêt de 17 millions de dollars, sécurisé par 24 millions de dollars de collatéral, avec un taux d’utilisation du pool proche de 100 %. Le design de Fraxlend prévoit qu’à saturation maximale, si le taux atteint 100 %, le taux d’intérêt est automatiquement doublé, puis multiplié par deux toutes les 12 heures. Sans intervention, le taux annualisé de ce pool aurait grimpé à plusieurs milliers de pourcents, entraînant inévitablement une liquidation.
Michael a pris une mesure sans précédent : il a créé un gauge unique, récompensant ceux qui fournissent de la liquidité avec fFRAX (le jeton de réception FRAX dans le pool CRV/FRAX de Fraxlend). L’objectif de ce gauge est d’inciter les utilisateurs à emprunter du FRAX, abaissant ainsi l’utilisation du pool CRV/FRAX. En tant que marché secondaire pour la dette Frax, ce mécanisme pourrait avoir d’autres usages intéressants à l’avenir.
Outre ces incitations, ce qui compte encore plus, c’est la solidité des relations — des alliances sur lesquelles on peut compter même dans les circonstances les plus extrêmes. Des pionniers du crypto et des influenceurs actuels ont apporté leur soutien, incluant même Wu Jihan, qui a tweeté qu’il allait acheter. Quelques heures après avoir lancé son gauge fFRAX/crvUSD, des millions de CRV ont été vendus hors chaîne à Justin Sun, DCF God, CT2P et d’autres anonymes. Dès que ces ventes ont commencé à être publiques, le prix du CRV s’est redressé, et des positions courtes de plusieurs millions de dollars ont été liquidées. Tandis que les transactions OTC continuent, CRV et Curve semblent avoir survécu à la tempête.
Conclusion
Le danger immédiat est presque passé. Reste à gérer prudemment les positions de prêt. Que pouvons-nous tirer de cette série d’événements tumultueux ? Premièrement, ceux qui annoncent « la mort du DeFi » ont tort. En réalité, il est plus fort que jamais.
Si cette crise s’était produite dans l’univers opaque de la finance traditionnelle, nous n’aurions probablement connu les détails complets que des années plus tard. Mais ici, l’histoire s’écrit sur chaîne, visible par tous, nous permettant d’analyser chaque transaction, de comprendre ce qui s’est passé. Cette transparence sans précédent nous permet de surveiller morceau par morceau la santé des protocoles de prêt et des pools de liquidité, et de saisir les raisons des décisions prises.
Toutefois, nous devons nous rappeler que si le DeFi égalise les opportunités et abaisse les barrières d’entrée, cela ne signifie pas que les résultats seront équitables. Les incitations ne se soucient pas des sentiments : elles visent l’accumulation de valeur. Que ce soit la valeur monétaire d’une attaque, le statut social acquis en organisant une récupération, les motivations derrière les recommandations de paramètres pour un protocole de prêt, ou la théorie des jeux économique derrière le remboursement d’un emprunteur, chacune des actions menées la semaine dernière fut le résultat implacable d’incitations rationnelles.
Si le DeFi veut vraiment atteindre le niveau de la finance traditionnelle, surtout lorsque des montants toujours plus importants sont en jeu, il doit faire face à la réalité d’un monde piloté par les incitations, et construire en conséquence. C’est ainsi que pensait Satoshi Nakamoto, et c’est ainsi que nous aussi devons penser pour prospérer.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@FlywheelDeFi
