Humour (noir) DeFi – Une assurance contre les risques liés à la DeFi victime d’une attaque à hauteur de 760 000$

Non, ce n’est pas une blague. Cela même si avec la bonne formulation il serait possible de faire rire aux éclats un public bien choisi. Ce n’est après tout qu’une énième attaque visant la Finance Décentralisée. Un scénario dont la banalité commence à poser sérieusement problème. Surtout quand la victime est un protocole d’assurance contre les hacks. Les pirates ont décidément un humour étrange.

Je ne commencerai pas cet article en disant que Vitalik Buterin avait vu juste. Mais il y avait tout de même quelque chose de prémonitoire dans son conseil de ne pas investir ses économies dans la DeFi donné la semaine dernière. Il pointait alors du doigt la fragilité inhérente aux smart contracts qui peuplent et surtout régissent l’intégralité de l’univers de la DeFi. Cela même dans le cas d’une structure bénéficiant d’un système d’audit compétent. 

La DeFi de nouveau attaquée

Il n’aura pas fallu longtemps pour que ses prédictions trouvent une démonstration concrète. En même temps cela faisait déjà plus d’un mois qu’il n’y avait pas eu de problème de ce genre au sein de la Finance Décentralisée. Cela depuis l’attaque dont avait été victime Balancer le 29 juin dernier. Peut-être tout simplement parce que les personnes capables de comprendre son fonctionnement au point de le détourner de la sorte étaient restés coincés dans la bulle spéculative de la DeFi. 

La victime de cette exploitation de faille est cette fois-ci le protocole du nom de Opyn. Et cette annonce a eu un effet immédiat sur son cours qui s’effondre en ce moment même de plus de 40%. Il faut dire que le montant record du détournement dont cette structure a été victime doit fortement participer à cette baisse violente des capitaux bloqués dans son univers. 

Car la somme encore en cours d’estimation au moment de la rédaction de cet article se situe dans une fourchette située entre 410 000 et 760 000 dollars. Ce qui correspond à 371 260 USDC et un montant entre 100 et 1000 ETH qui reste encore à déterminer.  

Où est la blague ?

Tout le monde n’a pas le même humour. Mais un protocole destiné à assurer les victimes des risques d’attaques très fréquents au sein de la DeFi qui se retrouve lui-même victime d’une de ces attaques. Il y a de quoi sourire. Car qui va assurer le remboursement des pertes d’une structure dont le but est d’assurer les personnes victimes de pertes de ce type ? Cela devient tout simplement tautologique. 

« Opyn est une plateforme d’assurance décentralisée construite sur Ethereum qui permet aux utilisateurs de se protéger des risques uniques auxquels ils sont confrontés au sein de la DeFi. » – DefiPulse

Le principe utilisé est ici le même que dans le cas de l’attaque de Balancer. Il s’agit de l’exploitation malveillante d’un emprunt instantané de type flash loan. Une formule pourtant présentée « sans risque de contrepartie, qui ne demande aucune garantie, à condition d’être remboursé dans une seule et même transaction sur Ethereum » par Albert Dessaint, Consultant chez Blockchain Partner.

Opyn tente de réagir

La structure derrière le protocole Opyn a immédiatement réagi. Elle a commencé par retirer toute la liquidité dont elle disposait sur la plateforme décentralisée Uniswap. Cela tout en conseillant à ses utilisateurs de ne pas ouvrir de nouveaux vaults pour le moment. 

De plus, Opyn a lancé une offre de rachat à l’attention des possesseurs de oToken ETH à un prix surévalué de 20% par rapport à leur cours actuel. Il s’agit de jetons dont le rôle est de « protéger leurs utilisateurs contre les risques techniques tels que les hacks et les risques financiers tels que l’effondrement de la valeur de l’ETH. » Tout un programme ! 

Une piste proposée par le développeur spécialisée dans la blockchain Emiliano Bonassi sur Twitter laisse penser que cette opération a été rendue possible par le fait qu’il s’agit ici d’ETH et non de jetons ERC20. Car dans ce cas, le collatéral n’est pas transféré sur le contrat et un dysfonctionnement du code lui permet visiblement d’exister deux fois. Ce qui offre la possibilité à un utilisateur mal intentionné de le réutiliser une seconde fois pour ouvrir un autre contrat. Affaire à suivre…