Compound victime d’une attaque de centralisation – 100 M$ liquidés

28 novembre 2020 - 09:40

Temps de lecture : 4 minutes

Par Hugh B.

Non, il ne s’agit pas d’une liquidation de type Black Friday dont a été victime hier le protocole Compound de la DeFi. Cela aurait pourtant été le résultat d’une belle opération du genre, vu le montant concerné. Mais dans le cas présent il se pourrait qu’elle ait été réalisée à destination d’une seule personne. Cette dernière  visiblement à l’origine de ce qui semble être une nouvelle attaque de type manipulation d’oracle. Et dont le montant exact du préjudice n’est pas connu, mais les conséquences directes estimées à 100 millions de dollars.

Ce n’est pas la jeunesse de la DeFi qui est son pire problème. Ni même les responsables des attaques à répétition de ses protocoles, qui ne sont que les surfeurs opportunistes d’un système défaillant. Mais bien ce qui commence à pouvoir être nommé comme l’incompétence de ses développeurs. Celle-ci une nouvelle fois mise en avant de façon dramatique. Et dont la légèreté commence à sérieusement poser problème dans un univers où les montants se comptabilisent dorénavant en milliards de dollars

Surtout dans la mesure où le processus de ces manipulations de prix par le biais d’oracles est connu et a été maintes fois décortiqué et reporté comme problématique. Cela afin de répondre à la question cruciale de savoir qui est le véritable ennemi de la DeFi. Sans qu’aucune mesure ne soit prise pour y remédier. Cela laissant le champ libre à ce concours du plus gros exploit de la DeFi en cours depuis des mois maintenant. And the winner is…

Compound vs centralisation

Et voilà que l’un des acteurs principaux et historiques de l’univers de la DeFi devient la victime de ce copié/collé d’attaque de centralisation. Car c’est bien là le problème récurrent qui permet à chaque fois de réaliser ces détournements records. Que cela se fasse à l’aide d’un prêt flashloan ou de toute autre astuce imaginée par les attaquants. Le point faible reste invariablement le caractère unique et centralisé de la source de données corrompue.

Ce qui prend à chaque fois la forme d’une manipulation de ces « oracles » dont le but est de délivrer le prix des cours en temps réel aux divers protocoles de la DeFi. Des outils qui la plupart du temps restent désespérément uniques. Cela dans un univers dont le principe même de décentralisation exige la multiplicité comme garantie de sa sécurité et de son indépendance. Au risque de s’exposer à des défaillances majeures


Compound COMP et la DeFi

Et c’est encore une fois le constat qui semble être fait au sujet de ce qui vient d’arriver au protocole Compound. Une attaque qui a mis à profit sa dépendance à une seule source de données de ce type. Celles-ci provenant de l’oracle sur lequel repose la plateforme Coinbase Pro. Qui n’est très certainement pas la meilleure source de fiabilité à l’heure actuelle ! 

Cette plateforme est donc devenue l’espace d’une attaque, le terrain de jeu du responsable de cette opération. Ce dernier l’a en effet utilisée comme cheval de Troie pour manipuler le cours du stablecoin DAI. Cryptomonnaie sur laquelle repose une bonne partie de l’écosystème de la DeFi. Et qui sert à réaliser des emprunts en peer-to-peer grâce à Compound.

100 millions de dollars liquidés

Une procédure qui a entraîné la hausse du cours du DAI au-dessus des 1,30$. Et qui de ce fait a provoqué la liquidation en masse des positions prises pour le collatéraliser sur les offres de prêts de Compound. Ces dernières étant actuellement fixées à un taux qui correspond à 125% du montant. Soit le verrouillage de 125$ pour obtenir l’équivalent de 100 stablecoins DAI ainsi sécurisés contre les fluctuations du marché.

Compound liquide 100 millions de dollars

Un système qui avait déjà éprouvé ses limites lors de l’effondrement des marchés du jeudi noir de la mi-mars. Mais dont les conséquences alors jugées désastreuses ne sont rien en comparaison du bilan actuel. Et qui a très certainement dû servir de source d’inspiration pour cette attaque, une nouvelle fois assez bien pensée.

Un bilan qui fait état de liquidations records qui ne concernent au total qu’un peu plus d’une centaine de comptes, selon les chiffres publiés par Compound. Mais dont une minorité comptabilise à eux seuls plus du tiers de ces pertes effectives.

Attaque ou pas attaque ? 

Mais aucune véritable communication officielle n’a encore eu lieu sur cet événement. En tout cas faisant mention d’une attaque, que l’ensemble de la communauté pense pourtant évidente. Si ce n’est le compte-rendu publié par Compound et relayé sur Twitter par son fondateur. Ce dernier faisant état d’une liquidation alors de 85,2 millions de dollars au moment de sa publication. Et concluant que « tous les marchés sont sains. »


Compound liquide 100 millions de dollars

« Ce qui était inattendu, c’était la situation défavorable du marché qui s’est produit, la rapidité avec laquelle cela s’est produit et, pour de nombreux utilisateurs, que cela pouvait se produire. Le marché DAI sur Compound, avec 1,6 milliard de DAI fournis et 1,3 milliard de DAI empruntés, s’est développé beaucoup plus grand et plus rapidement que quiconque ne l’avait prévu. » – Robert Leshner

Au moment de la rédaction de cet article, aucune information complémentaire sur cette affaire n’a été effectuée de la part de Compound. Mais cet événement est présenté par son fondateur comme « un appel au réveil (pour sa communauté , ndlr) pour calibrer le protocole, qui a évolué rapidement au cours de l’été. » 

Et peut-être une bonne occasion de débuter la grande migration de l’ensemble des protocoles de la DeFi vers des terres d’oracles plus décentralisées…

Recevez le top 3 de l'actualité crypto chaque dimanche