Les raisons des départs massifs :
- Le gel des marchés avec $RSETH et $WETH sur Aave V3/V4 et de nombreux autres protocoles
- Une vague de haine envers LayerZero : 10 heures après le piratage, l'équipe n'a pu écrire que : « Nous sommes au courant du piratage et nous cherchons la cause de cet incident »
- Les protocoles suspendent leur fonctionnement avec le pont LayerZero OFT.
-$RSETH dans plus de 20 réseaux est désormais sans garantie.
Commentaire de Mikhail Egorov (Curve) :
Cette histoire a commencé avec LayerZero, sur lequel repose une cryptomonnaie d'une valeur de 250 milliards de dollars ! Alors, qu'est-ce qui s'est passé ? Essayons de comprendre.
rsETH de Kelp utilise le pont LayerZero. Ce pont permet de transférer rsETH vers d'autres réseaux et vice versa. On ne peut minteer rsETH qu'en Ethereum, et tout rsETH dans les autres réseaux est garanti par le mainnet-rsETH stocké dans le pont.
Dans LayerZero, on peut choisir ce qu'on appelle des DVN. Les DVN sont des nœuds qui, en gros, transmettent un message depuis un autre réseau. Une configuration 2-sur-3 pour les DVN signifierait que deux DVN devraient accepter que « donner 100 000 rsETH à Eve » est exactement ce qui avait été demandé dans l'autre réseau. Et c'est là que réside le problème : pour rsETH, la configuration est 1-sur-1 — seul un seul DVN est utilisé et bénéficie pleinement de la confiance (même s'il s'agit du DVN principal de LayerZero). C'est donc lui qui a confirmé le message autorisant le hacker à retirer tout le rsETH du pont, alors même que cela n'avait jamais été envoyé dans le réseau d'origine (dans ce cas, Unichain).
Comme vous l'avez probablement entendu, une configuration 1-sur-1 pour les multisignatures est peu sûre. Il en va de même pour les DVN. Mais c'était POURTANT LE MÊME DVN officiel de LayerZero — comment a-t-il pu confirmer un message erroné ? A-t-il été piraté ? A-t-il été trompé ? Nous ne le savons pas. Mais tout peut arriver quand on fait confiance à une seule et unique partie — quelle qu'elle soit.
Bon, admettons que le hacker ait trompé le DVN officiel de LayerZero et obtenu une énorme quantité de rsETH. Et ensuite ? Le plus avantageux pour le hacker était de placer ces rsETH dans Aave et d'emprunter tout l'ETH possible. Aave s'est retrouvé avec du rsETH pratiquement impossible à vendre, et avec l'ETH entièrement emprunté, si bien que personne ne peut retirer l'ETH. Un endettement potentiellement très mauvais d'environ 300 millions. Peut-être pas — techniquement, tout reste encore garanti, mais une panique bancaire est en cours sur Aave.
Alors, quelles conclusions pouvons-nous tirer de tout cela ?
* Le prêt non isolé, comme celui proposé par Aave, est très risqué (même s'il est le plus capitalo-efficient !). Aave v4 avec sa structure hub-and-spoke est probablement moins risquée. Morpho aussi. Quant aux prêts sur Curve, comme Silo, ils sont probablement les plus isolés → les plus sûrs à cet égard.
* Les protocoles de prêt sont plus risqués pour placer des fonds que les DEX. Le pool USDC/USDT sur Curve n'a d'exposition qu'à deux actifs dans le pool, tandis qu'Aave a une exposition à tous les actifs ajoutés à son pool.
* Il faut accorder une attention particulière à l'intégration des actifs dans les protocoles de prêt. La configuration 1-sur-1 pour rsETH est vraiment une erreur : elle aurait dû être mise à jour au moins à 2-sur-2 avant l'intégration.
* Le cross-chain est complexe et potentiellement dangereux. Utilisez l'infrastructure cross-chain uniquement lorsque c'est absolument nécessaire, et faites-le VRAIMENT avec précaution.
Quoi qu'il en soit, je pense que DeFi tirera des leçons de cet incident et deviendra plus fort qu'avant. La cryptomonnaie est un milieu rude où aucun banquier ne survivrait — et pourtant, nous y travaillons. Une infrastructure permissionless exige des efforts extraordinaires pour être sécurisée — et nous fournissons justement ces efforts !
TVL est tombé de 26,4 milliards de dollars à 19,8 milliards de dollars
AAVE a chuté de 25 % depuis les pics du 17 avril