Avertissement : Cet article est écrit par le créateur de la communauté BSC,* *Logan DeFi*. Les opinions exprimées dans cette publication sont celles de l’auteur. Elles ne prétendent pas refléter les opinions ou les points de vue de l’écosystème BSC ou de ses membres.*
Cette année, nous avons assisté à une série de ce qui semblait être d’interminables attaques de prêts flash sur la DeFi, qui ont entraîné des pertes importantes pour des milliers d’utilisateurs.
Alors que certains se sentent intimidés et spéculent pour savoir qui est à blâmer pour de tels exploits, d’autres maintiennent que le prêt flash est sans aucun doute un instrument financier innovant et qu’il va changer le marché financier.
Au bout du compte, qu’est-ce qu’un prêt flash et quel rôle joue-t-il dans le monde de la cryptomonnaie ?
Cela n’existe que sur la DeFi
Le prêt flash est une spécialité de la DeFi. Introduit pour la première fois en 2020 par AAVE sur Ethereum, un prêt flash est salué comme n’ayant “aucune analogie avec le monde réel” et a depuis apporté toute une série de nouvelles possibilités de ce que vous pouvez faire avec l’argent.
En termes simples, un prêt flash est un prêt que vous pouvez contracter auprès d’un protocole DeFi sans avoir à fournir de garantie ou à prouver votre fiabilité à l’aide d’une cote de crédit. Il élimine les rôles des intermédiaires financiers, permettant ainsi aux investisseurs d’être plus proactifs et de contrôler les fonds et les instruments financiers.
Pour la toute première fois, vous pouvez investir librement sans utiliser votre propre argent.
Vive la liberté financière ! Adieu au processus compliqué d’approbation des prêts ! Je vais passer de la misère à la richesse grâce aux prêts flash ! Hourra pour moi !
Pas vrai ?
Pas tout à fait. Aussi fantastique et révolutionnaire que cela puisse paraître, son fonctionnement est tout à fait hors norme et les risques associés peuvent être difficiles à accepter pour beaucoup.
Dans un scénario “normal”, par exemple, vous empruntez de l’argent à une banque après avoir prouvé votre capacité à la rembourser, vous investissez avec cet argent emprunté, puis vous rendez le capital à la banque.
Essentiellement, le processus consiste en trois transactions, et le fait de ne pas rembourser le prêt à temps entraîne une sorte de sanction, comme la liquidation des garanties.
Dans les prêts flash, toutes ces étapes se déroulent comme par magie en UNE seule transaction grâce à la puissance de la blockchain.
Lorsque vous faites une demande de prêt flash, le protocole commence par vous prêter temporairement l’argent. Vous pouvez ensuite faire ce que vous voulez avec le prêt, tant que vous êtes en mesure de le rembourser avant la fin de la transaction sur la blockchain.
Si vous n’êtes pas en mesure de rembourser le prêt à temps, la transaction est annulée. Par conséquent, dans tous les cas, les smart contrats garantissent que le prêteur récupère toujours son argent.
Le problème, c’est qu’il faut beaucoup de mots pour expliquer cela, mais en réalité, une transaction de prêt flash se déroule en quelques secondes.
Donc, idéalement, si vous voulez récolter des bénéfices d’un prêt flash, dans la deuxième partie de la transaction où vous avez la liberté de jouer avec l’argent emprunté, le fonds doit être traité par un code ou un algorithme.
C’est ce qui rend les prêts flash peu conviviaux pour les investisseurs moyens en crypto-monnaies.
Cependant, pour les investisseurs plus férus de technologie, un prêt flash est le moyen idéal de gagner de l’argent avec un capital nul. Certains profitent même des prêts flash et d’autres failles sur la DeFi pour lancer ce que l’on appelle des “attaques de prêts flash” ou Flash Loan.
La première attaque a lieu le jour de la Saint-Valentin.
Environ un mois après avoir fait ses débuts, le jour de la Saint-Valentin 2020, le prêt flash secoue le monde de la DeFi avec la première attaque sur la blockchain Ethereum. Un attaquant anonyme exécute un prêt flash et 74 autres transactions, prenant plus de 350 000 USD.
Au début, l’emprunteur fait un prêt flash de 10 000 ETH à dYdX. Le prêt est divisé en deux parties :
- 1 300 ETH de ce prêt sont court-circuités en faveur de wBTC sur bZx. L’ordre court est relayé et rempli sur Uniswap. En raison de la faible liquidité sur Uniswap, la vente à découvert a un glissement de prix de 200,38 %, ce qui fait monter en flèche le prix du wBTC.
- 5 500 ETH provenant du même prêt flash sont utilisés comme garantie pour emprunter 112 wBTC à Compound. L’attaquant profite ensuite de l’augmentation du prix des wBTC sur Uniswap pour convertir 112 wBTC en 6 871,41 ETH. Après cela, il rembourse 10 000 ETH à dYdX et le prêt flash est terminé.
Après l’exploit, l’attaquant renvoie 112 wBTC à Compound pour récupérer 5 500 ETH en garantie.
Le montant total du bénéfice qu’il retire de cette attaque s’élève à plus de 350 000 USD.
Et ce n’est certainement pas le dernier incident
Comme la DeFi ne s’est pas remis de la première attaque, le deuxième coup est porté quelques jours plus tard. Cette fois, toujours sur bZx, en un seul prêt flash, l’emprunteur empoche 634.9k USD.
Dès lors, les attaques de prêts flash deviennent de plus en plus sophistiquées et brutales à chaque coup. Au milieu de ces coups cruels, certains contiennent des signes d’empathie ou des traces d’humour qui nous rendent perplexes quant aux intentions des adversaires.
Ne cherchent-ils que l’argent ? Ou sont-ils là pour prouver quelque chose ?
Par exemple, l’attaquant de MakerDAO utilise le prêt flash pour influencer le résultat d’un sondage plutôt que pour un gain financier immédiat.
En ce qui concerne le cas de Value DeFi en 2020, après que quelques utilisateurs aient laissé des notes par l’intermédiaire de l’adresse du portefeuille de l’attaquant en le suppliant d’avoir pitié, cet homme anonyme malveillant ( ?) pour une raison quelconque rend 2 millions USD aux utilisateurs.
Drôle d’auteur de PancakeBunny, cette personne fait le buzz parmi les investisseurs en crypto avec un message dans la transaction de prêt flash qui dit “Aren’t Flash loans Earitating”.
Puis, dans un geste imprévisible, l’attaquant envoie 100 001 DAI à REKT News, le site web qui rapporte, eh bien, les rekts du monde décentralisé. L’équipe de REKT a refusé de recevoir l’argent volé et l’a transféré à PancakeBunny.
Plusieurs attaques en 2021 ont causé des dizaines de millions de dollars de pertes chacune. De xToken et Alpha sur Ethereum à PancakeBunny et Spartan sur Binance Smart Chain, les attaques de prêts flash malheureusement fréquentes laissent les investisseurs crypto se demander pourquoi elles arrivent à certains protocoles et pas à d’autres.
Est-ce parce que certains sont plus sûrs ? Ou est-ce par pure chance que certains sont épargnés ?
Pourquoi sommes-nous dans cette situation ?
Tout d’abord, soyons clairs. Le prêt flash en lui-même ne permet pas l’attaque. Il fournit aux attaquants des fonds suffisamment importants pour les aider à exploiter des vulnérabilités déjà existantes dans les protocoles.
Les criminels abusent souvent de la décentralisation et de la confidentialité des crypto pour s’enfuir avec leur butin, car il est extrêmement compliqué de les traquer et de récupérer les fonds. Il en va de même pour les attaquants des prêts flash.
De plus, comme nous l’avons déjà mentionné, le prêt flash permet aux gens d’investir avec presque aucun capital.
Alors que d’autres types de manipulation dans la DeFi exigent que vous (1) déteniez une énorme quantité de tokens ou (2) soyez un membre de l’équipe du projet ou ayez un accès interne.
Pourtant, d’après le journal des attaques de prêts flash, on peut voir qu’il y a des périodes particulières où les attaques sont plus fréquentes. Les deux mois les plus touchés ont été novembre 2020 et mai 2021. Ces deux mois ont enregistré un nombre record de cas de COVID-19 dans différentes parties du monde.
En mai 2021 en particulier, le marché des crypto a connu un grand effondrement, et il s’en est suivi une série d’événements épouvantables pour la communauté, notamment des rugpulls et des attaques de prêts flash.
Le timing et les facteurs externes peuvent proposer une explication possible. Cependant, des fantômes affamés rôdent toujours sur le marché financier, qu’il s’agisse de l’espace réglementé ou non.
Dans la sphère décentralisée, tout se fait par le biais de smart contrats, et les smart contrats sont essentiellement des lignes de codes. Par conséquent, bien qu’ils éliminent les questions de confiance impliquant un tiers dans une transaction, des problèmes peuvent survenir par inadvertance lorsqu’un code ne fonctionne pas comme il a été conçu, et c’est là que le pirate vise.
Dans le premier incident de bZx, l’attaque “Pump” lors de l’exécution de l’ordre short sur Uniswap aurait pu être évitée si le système bZx avait reconnu le problème de liquidité. En fait, bZx avait une telle logique dans ses contrats, mais elle n’a pas été activée correctement pendant l’attaque.
Dans d’autres cas, comme la deuxième attaque de bZx ou l’incident de PancakeBunny, un échange n’utilise qu’un ou deux oracles sur la chaîne qui ne fournissent pas suffisamment d’informations sur le marché, notamment le prix des tokens, ce qui le rend plus vulnérable à la manipulation des prix pour l’arbitrage.
Comment tourner la page ?
Le prêt flash n’est pas le pécheur. En fait, il établit une nouvelle norme pour les prêts et abaisse les barrières d’entrée pour les investisseurs. Pourtant, compte tenu du taux alarmant d’attaques de prêts flash ces derniers mois, il faut proposer une solution.
Tout d’abord, un certain nombre d’attaques de prêts flash ont pour point de défaillance des oracles on-chain. Comme indiqué précédemment, les oracles on-chain offrent une couverture limitée du marché, ce qui rend les protocoles plus sujets à la manipulation des prix.
Dans ce cas, des réseaux d’oracles décentralisés avec une large couverture du marché devraient être intégrés au système pour s’assurer que les protocoles de prêt sont plus résistants et sécurisés, en particulier lorsque les projets sont très interconnectés de nos jours.
Avec des réseaux d’oracles décentralisés robustes en place, il est plus difficile pour les adversaires de manipuler les prix des tokens sur une bourse pendant une attaque.
Suite à la récente attaque de prêt flash de PancakeBunny, l’équipe a choisi d’intégrer le flux de prix de Chainlink pour améliorer son fonctionnement cross-chain.
Le flux de prix fonctionne de manière décentralisée, fournit des données de qualité et utilise un modèle de contrat de référence, permettant au système de PancakeBunny de recevoir un prix plus précis d’un actif numérique à tout moment.
Comme un prêt flash ne se produit que dans un seul bloc et ne peut affecter que les échanges on-chain, il est moins susceptible d’influencer le flux de prix de Chainlink qui fonctionne sur plusieurs blocs en même temps.
Néanmoins, l’utilisation d’oracles hors chaîne de qualité peut empêcher l’attaque “Pump” et l’arbitrage, mais cette solution n’est pas une solution miracle car le pirate peut délibérément cibler les oracles.
La liquidation de l’ETH le 12 mars 2020 a provoqué une énorme chute du prix de l’ETH sur MakerDAO. Couplée à la congestion du réseau d’Ethereum et aux frais de gaz ridicules, la manipulation des prix par la baleine a paralysé les oracles de géants tels que Chainlink et MakerDAO.
Les flux de prix n’avaient aucun moyen de se mettre à jour assez rapidement, ce qui a entraîné une liquidation massive des actifs sur MakerDAO. Toutes les mesures de protection que les utilisateurs ont appliquées à leurs actifs ne fonctionnent pas dans cette situation, car ces mesures dépendent du bon fonctionnement des oracles.
Cette histoire n’est pas particulièrement liée à une attaque de prêt flash, mais c’est une mise en garde car un prêt flash permet d’être une baleine pour une transaction. Sur la Smart Chain de Binance, les tokens à faible liquidité sont souvent indexés par Chainlink, et ils sont les plus sensibles à ce type de manipulation.
Cela nous amène au deuxième point : les oracles doivent améliorer leur sécurité car ils sont très importants pour le bien-être de l’ensemble du marché.
Par exemple, Deri Protocol se rend compte d’un exploit potentiel sur son Oracle V1, il lance donc immédiatement la procédure d’intervention d’urgence, fait migrer en toute sécurité les fonds des utilisateurs, examine un nouveau contrat pendant trois jours, et enfin transfère tous les fonds, y compris ceux de l’adresse malveillante, vers le nouveau pool. Par la suite, le pool d’origine est retiré du protocole.
La réaction rapide du protocole Deri face à une attaque d’oracle a permis de protéger les fonds des utilisateurs et est tout à fait louable.
Troisièmement, les projets devraient faire vérifier leurs codes par diverses parties avant leur lancement. La plupart des protocoles qui subissent des attaques de type “flash loan” ne font pas l’objet d’un audit de leurs smart contrats, et ne découvrent que des bugs stupides dans les codes après avoir été exploités.
Certains protocoles affectés n’ont qu’un seul auditeur. Seuls Alpha et Harvest sur Ethereum sont les deux cas curieux où ils ont deux et trois auditeurs (respectivement), alors que chacun d’entre eux a perdu plus de 30 millions de dollars à cause des attaques de prêt flash. Néanmoins, on peut dire que plus le nombre d’auditeurs qui examinent vos contrats est élevé, moins il y a de risques d’attaque par prêt flash.
Quatrièmement, les protocoles peuvent désactiver les dépôts et les retraits au cours d’une même transaction. Comme cela augmente les coûts pour lancer des attaques de prêts flash, certains criminels potentiels peuvent être découragés tandis que les investisseurs normaux peuvent toujours utiliser les prêts flash comme un instrument financier précieux.
Enfin, et ce n’est pas le moins important, les exploits de prêts flash durent quelques secondes, il est donc presque impossible pour une équipe d’intervenir à temps.
Une excellente solution pour les protocoles deFi serait de renforcer leurs capacités de contrôle des risques en installant un système qui peut alerter et prendre des mesures contre les attaques de prêts flash en temps réel.
Dans ce cas, les protocoles DeFi peuvent apprendre et adopter le modèle du marché boursier. Sur le marché boursier, une augmentation de la volatilité déclencherait automatiquement une augmentation de la prime des options.
De même, un protocole peut mettre en œuvre un système capable d’ajuster dynamiquement les paramètres liés aux prêts flash, tels que le taux d’intérêt, le pourcentage d’emprunt, etc. en cas de changement soudain et radical du prix des tokens.
De cette façon, les protocoles n’ont pas besoin d’arrêter complètement la transaction de prêt flash en question, mais ils peuvent plutôt être plus proactifs et flexibles dans leur façon de traiter les attaques potentielles.
Que nous réserve l’avenir ?
Le prêt flash est une technologie relativement nouvelle qui introduit un concept absolument unique sur le marché financier. Il ouvre un monde de possibilités aux investisseurs et ouvre la voie à un nouveau système financier.
En même temps, les attaques de prêts flash sont des incidents qui nous rappellent que nous sommes encore très tôt dans le développement de DeFi. Même si nous avons trouvé quelques solutions possibles, il est fort probable que les attaques par prêts flash se compliquent et révèlent d’autres faiblesses de DeFi à l’avenir.
Le bon côté des choses, c’est que ces “leçons difficiles” permettent aux projets de connaître leurs vulnérabilités. L’adoption de la DeFi est inévitable et en savoir plus sur ses faiblesses ne fera que nous rendre plus forts à long terme.
Il est très intéressant de voir comment les prêts flash et l’ensemble de l’espace DeFi, en général, vont évoluer à partir de maintenant. Cependant, une chose est certaine, les projets doivent donner la priorité à la sécurité et ne pas ménager leurs efforts pour protéger leurs utilisateurs et leurs fonds.
Écrit par Logan DeFi
Avertissement : Cet article est écrit par le créateur de la communauté BSC,* *Logan DeFi*. Les opinions exprimées dans cette publication sont celles de l’auteur. Elles ne prétendent pas refléter les opinions ou les points de vue de l’écosystème BSC ou de ses membres.*
source : ici
Website
Twitter
Facebook
Medium
Retrouvez nos autres articles :
Présentation BSChain
Présentation de la Binance Smart Chain
Binance Chain vs. Binance Smart Chain
Regard sur la BSC👀
Les portefeuilles : Binance Chain Wallet / Metamask / TrustWallet
[GUIDE] DeFi to the moon ! On vous dit tout !
Binance Bridge, comment l'utiliser ?
Les outils pratiques pour la Binance Smart Chain
Protéger son wallet en DeFi, qu’est-ce que cela signifie réellement ?
Les NFT’s un monde nouveau
Présentation de PancakeBunny, le lapin boulimique !
L’interopérabilité des Blockchains
[Rapport] 21 avril 2021 - Vénus Vaults Post-Mortem par Autofarm
[News] La 1ère étape pour HELMET #NFT ERA : Le Gacha Game 🎁
[News] Helmet.Insure #IIO: Lever Network
[News] ValueDefi + ApeSwap : Une collaboration précieuse🤝🐵
[News] Prochaines étapes de l'approvisionnement en BUNNY🐰
[News] Helmet.Insure, pour innover : #NFT Gacha LIVE
[News] ApeSwap : NFA Sale #4 + Recap
[News] BakerySwap : Crypto Doggies IDO
[News] Notification pour la communauté Bunny🐰
[News] L’intégration de Polygon arrive bientôt sur Autofarm !
[News] L’équipe Bunny à la rescousse !🐰🎉🙌
[News] Hot Cross (HOTCROSS) l’IFO sera hébergé sur PancakeSwap🥞
[News] Autofarm, Vault automatiques uniques et Tokenomics révisés
[News] PancakeBunny : Plan de récupération et plus!
[News] PancakeBunny : Sécurité des codes : Le passé, le présent et l’avenir
[News] Mécanismes de réclamation et de frappe de monnaie de PancakeBunny
[News] PancakeBunny restauré !🥳
[News] pBUNNY et le pool de compensation — comment les utiliser et comment ils fonctionnent
[News] Helmet.Insure #IIO: CoinWind (COW)
[News] ApeSwap : Rencontrez ApeRocket🚀 — IAO #004 Mise à jour !
[News] Helmet.Insure #IIO: Paul Protocol (PAUL)
[News] Présentation de BUNNY POTS !🐰
[News] Autofarm x Ozys Team (partenariat)
[News] Présentation de ApeRocket un optimiseur de banane 🍌🍌🍌
[News] Programmes de rachat initiés ! — Bunny Pots, distribution de Bunny, et frais cross-chain !
La sécurité dans BSC & la DeFi : La Smart Chain de Binance est-elle sûre ?
[News] Gagner du Matic sur les coffres d’Autofarm
[Présentation] Qu’est-ce que le score AFA ?
[News] Bunny : Assurer la sécurité des écosystèmes avec Chainlink
[News] ApeSwap Présente : HOT DEFI SUMMER 🌞
[News] ApeSwap + Seascape 🐵 🌊
[News] Arrêt du programme Bunny Boost
Rencontrez les artistes et les créateurs derrière le marché NFT de Binance : 100 créateurs dévoilés
[News] My Neighbor Alice arrive dans le Métavers de The Sandbox
[News] ApeSwap : IAO #005 — Jeux HiFi Retro DeFi !👾🐵
Comment les NFT modifient l’économie des créateurs
[News] ApeSwap : NFA #8 🐵
[News] PancakeBunny : Bulettin hebdomadaire — 11 juin 2021
Principales raisons pour lesquelles la BSC est la meilleure blockchain pour les NFTs
[News] La loterie de la vente de terrains Nature's Rest de My Neighbor Alice est terminée !
[News] Les graphiques et les ordres à cours limité arrivent sur le DEX d’ApeSwap📈
[News] Plan de récupération de PancakeBunny🐰
.