Hack de Balancer et dépeg de xUSD : les risques de la DeFi mis en lumière

Auteur de l'article original : Omer Goldberg, Chaos Labs

Traduction de l'article original : DeepTech TechFlow

Résumé

Quelques heures après l'incertitude généralisée dans l'écosystème DeFi suite à une attaque par vulnérabilité sur la plateforme multi-chain @Balancer, @berachain a effectué un hard fork d'urgence et @SonicLabs a gelé le portefeuille crypto de l'attaquant.

Par la suite, le prix du stablecoin xUSD de Stream Finance a significativement divergé de sa parité, illustrant un événement de dépeg manifeste.

Résurgence de problèmes persistants

Les controverses de longue date concernant le levier, la dépendance aux oracles et la transparence de la preuve de réserve (PoR) sont revenues sur le devant de la scène.

C'est précisément le cas d'un "événement de stress réflexif" typique, tel que décrit dans notre article "La boîte noire/trésorerie de la DeFi" vendredi dernier.

Que s'est-il passé ? / Contexte

La vulnérabilité de Balancer v2 est apparue sur plusieurs chaînes, et pendant un temps considérable, il n'était pas clair quels pools étaient affectés, ni quels réseaux ou protocoles intégrés étaient directement exposés au risque.

Panique des capitaux dans un vide informationnel

Dans ce vide informationnel, la réaction des capitaux a été conforme aux attentes : les déposants se sont précipités pour retirer leur liquidité partout où ils percevaient un impact potentiel, direct ou indirect, y compris sur Stream Finance.

Litige sur la transparence

Stream Finance ne maintient actuellement pas de tableau de bord de transparence complet ou de preuve de réserve ; cependant, elle fournit un lien vers le Debank Bundle pour afficher ses positions on-chain.

Cependant, suite à l'éclosion de la vulnérabilité, ces modestes divulgations n'ont pas réussi à résoudre définitivement le problème d'exposition au risque : le prix du xUSD (produit USD à rendement de Stream) a chuté de son prix cible de 1,26 $ à 1,15 $, rebondissant actuellement à 1,20 $, tandis que les utilisateurs ont signalé des suspensions de retrait.

Risques et controverses de Stream Finance

Stream est une plateforme d'allocation de capital on-chain qui utilise les fonds des utilisateurs pour mettre en œuvre des stratégies d'investissement à haut rendement et à haut risque.

La construction de son portefeuille implique un levier important pour rendre le système plus résilient sous pression. Cependant, le protocole a récemment fait l'objet d'un examen public en raison de controverses entourant un mécanisme de minting récursif.

Bien que la situation actuelle n'indique pas directement une crise de liquidité, elle révèle la grande sensibilité du marché. Lorsque des nouvelles négatives émergent et que la confiance est remise en question, le passage de "probablement correct" à "remboursement immédiat" se produit souvent rapidement.

Le xUSD est utilisé comme collatéral distribué sur des marchés sélectionnés sur plusieurs chaînes, notamment Euler, Morpho et Silo, couvrant des écosystèmes comme Plasma, Arbitrum et Plume.

Le protocole lui-même comporte une exposition au risque significative sur ces marchés, la plus grande exposition étant de 84 millions USDT empruntés contre un collatéral xUSD sur Plasma.

Mécanisme de collatéralisation et tampon de risque

Lorsque le prix du marché du xUSD tombe en dessous de sa valeur comptable, les positions pertinentes ne sont pas immédiatement liquidées. C'est parce que de nombreux marchés ne fixent pas la valeur du collatéral au prix spot AMM, mais s'appuient sur des flux d'oracles codés en dur ou de "valeur de base" qui suivent le backing déclaré des actifs plutôt que les prix actuels du marché secondaire.

Pendant les périodes calmes, cette conception peut aider à atténuer la liquidation des risques extrêmes due à la volatilité à court terme, en particulier dans les produits stables. C'est aussi pourquoi les protocoles DeFi ont surperformé les plateformes centralisées lors de la vague de liquidation du 10 octobre.

Cependant, cette conception peut aussi transformer rapidement la découverte des prix en découverte de la confiance : choisir un oracle de base (ou codé en dur) nécessite une diligence raisonnable approfondie, y compris sur l'authenticité, la stabilité et les caractéristiques de risque du backing de l'actif.

En bref, ce mécanisme ne s'applique que lorsqu'une preuve de réserve complète est disponible et que le rachat peut être effectué dans un délai raisonnable. Sinon, le risque est que le prêteur ou le déposant puisse finalement supporter les conséquences d'un défaut.

Test de résistance sur Arbitrum

En utilisant Arbitrum comme exemple, le prix actuel du marché du Morpho Market xUSD sélectionné par MEV Capital est tombé en dessous du LLTV (Ratio prêt/valeur minimum). Si le prix d'ancrage du xUSD ne peut pas se rétablir, dans un scénario où l'utilisation atteint 100 % et le taux d'emprunt monte en flèche à 88 %, le marché pourrait se détériorer davantage.

Nous ne sommes pas contre les oracles de couche de base ; au contraire, ils jouent un rôle crucial dans la prévention des liquidations injustes causées par les fluctuations à court terme. De même, nous ne sommes pas contre la tokenisation ou même les actifs à rendement centralisés. Cependant, nous préconisons une transparence de base et l'adoption d'une gestion des risques moderne, systématique et professionnelle lors du déploiement de marchés monétaires autour de ces actifs.

Les marchés sélectionnés peuvent être un moteur de croissance responsable, mais ils ne devraient pas se transformer en une course au sacrifice de la sécurité et de la rationalité pour chasser les rendements.

Si ce qui est construit est une structure complexe "en domino", alors l'effondrement ne devrait pas être surprenant lorsque la première rafale de vent souffle. À mesure que l'industrie se professionnalise et que certains produits à rendement deviennent plus structurés (mais potentiellement plus opaques pour les utilisateurs finaux), les parties prenantes au risque doivent placer la barre plus haut.

Bien que nous espérions résoudre correctement les problèmes pour les utilisateurs affectés, cet incident devrait servir de signal d'alarme pour toute l'industrie.

Lien vers l'article original