Les problèmes de sécurité de la Finance décentralisée doivent encore être pris très au sérieux

Depuis février 2020, le secteur de la Finance décentralisée a perdu des centaines de millions de dollars. Bien que les experts de l'industrie aient mené de nombreuses analyses sur les risques de l'architecture modulaire de la Finance décentralisée, il semble que les développeurs n'aient toujours pas suffisamment pris en compte ce problème. Dans un contexte où le marché reste en plein essor et où la taille des actifs verrouillés continue d'augmenter, il semble que les gens aient oublié que les dangers cachés sous l'apparence de la prospérité persistent.

Le protocole Yearn Finance a été attaqué

Au début de l'année 2021, le projet de Finance décentralisée autrefois leader, Yearn Finance, a subi une attaque de prêt éclair. Selon l'analyse des agences de sécurité, l'attaquant visait le pool de stratégie DAI de Yearn Finance. Le processus d'attaque se déroule comme suit :

1. Obtenez un prêt flash important en ETH depuis une plateforme de prêt.
2. Utiliser l'ETH emprunté pour emprunter des DAI et USDC sur Compound
3. Injecter la majorité des fonds dans le pool DAI/USDC/USDT de Curve, contrôler la majorité de la liquidité.
4. Manipuler le ratio des jetons dans le pool pour dévaluer DAI par rapport à d'autres.
5. Utiliser les prix déséquilibrés pour déposer DAI dans le pool de stratégie Yearn afin d'obtenir des jetons 3CRV.
6. Rétablir l'équilibre des proportions de tokens dans le pool
7. Déclenchement du retrait du pool de stratégie Yearn, entraînant un retour de DAI inférieur malgré une quantité équivalente de 3CRV.
8. En contrôlant la majorité de la liquidité, l'attaquant a obtenu la plupart des DAI que Yearn n'a pas pu récupérer.
9. Remboursez le prêt éclair après avoir répété les étapes ci-dessus plusieurs fois, complétant ainsi l'arbitrage.

Cette attaque a causé des pertes allant jusqu'à dix millions de dollars à Yearn Finance.

La racine du problème réside dans un mécanisme de prix fragile

La combinaison de YFI et Curve utilise différentes valeurs nettes des parts LP pour calculer les parts, déterminant ainsi le prix. Ce mécanisme est susceptible d'être manipulé. Actuellement, chaque protocole DeFi est comme un pays différent, établissant ses propres règles. Les arbitragistes recherchent des opportunités d'arbitrage en combinant différentes règles.

Problèmes sous-jacents révélés par la manipulation des prix

Actuellement, de nombreux développeurs de Finance décentralisée se concentrent trop sur la vitesse et l'efficacité, au détriment de l'essence de la blockchain. Le réseau Bitcoin assure la sécurité grâce à la validation conjointe de tous les nœuds, bien que son efficacité ne soit pas élevée, il résout le problème de confiance décentralisée.

Si le mécanisme des prix dépend uniquement de quelques nœuds "de confiance" ou de part de LP simples, et que les utilisateurs ne peuvent pas vérifier efficacement, alors ce prix manque de fondement consensuel. En conséquence, les économies en chaîne basées sur cela auront également du mal à renforcer leur sécurité à mesure qu'elles se développent, ce qui va à l'encontre de la nature même de la blockchain.

Respecter la décentralisation et la vérifiabilité

Certains protocoles décentralisés s'efforcent de générer des données de prix sans arbitrage sur la chaîne, à utiliser par d'autres protocoles de Finance décentralisée. À mesure que le nombre de participants augmente, la qualité des données de prix sur la chaîne s'améliore également. Ce prix sur la chaîne, généré par un jeu non coopératif multiparty, est la base de sécurité qu'il convient de poursuivre.

Maintenir l'essence décentralisée de la blockchain est le principe fondamental du développement de l'industrie. Seule une écosystème de Finance décentralisée (DeFi) basé sur le consensus et la vérifiabilité peut vraiment réaliser un développement stable à long terme.