Compound gèle 4 cryptomonnaies – Les victimes collatérales du hack Mango Markets à l’arrêt
Compound ne veut prendre aucun risque – Compound est un protocole emblématique de la DeFi sur Ethereum. Celui-ci entre dans la catégorie des plateformes dites de lending. Compound met en relation emprunteurs et épargnants, et ce de manière décentralisée. Cependant, face au risque d’attaque par manipulation d’oracle, Compound réagit.
Compound réduit les risques d’attaques par manipulation d’oracles
Le 12 octobre dernier, le protocole de lending Mango Markets a été la cible d’une attaque savamment orchestrée. Ainsi, l’attaquant a réussi à dérober plus de 110 millions de dollars dans les pools du protocole.
En pratique, celui-ci a mené une attaque dite de manipulation d’oracle. Pour faire simple, il a manipulé brièvement le cours de la cryptomonnaie MNGO. Avant sa manipulation, l’attaquant a acheté de nombreux jetons MNGO. Une fois le cours artificiellement gonflé, il a utilisé ses jetons MNGO afin d’effectuer d’importants prêts sur la plateforme. Cela lui a permis de vider les pools du protocole, laissant ce dernier avec un important défaut de dette.
Ce vecteur d’attaque est théoriquement possible sur la majorité des plateformes dites de lending. Par conséquent, des protocoles tels que Compound ou Aave pourraient faire les frais d’une telle attaque.
Bien que ces protocoles emblématiques d’Ethereum disposent de liquidités bien plus profondes, le risque n’est pas nul.
Ainsi, les équipes de Compound ont soumis une proposition d’évolution via le module de gouvernance du protocole. Son objectif principal est de mitiger ce vecteur d’attaque. C’est pourquoi, via la proposition 131, le protocole envisage de mettre en pause l’approvisionnement sur quatre marchés. À savoir BAT, ZRX, MKR et YFI.
« Une attaque basée sur la manipulation d’oracle, analogue à celle qui a coûté 117 millions de dollars à Mango Markets. Celle-ci a beaucoup moins de chances de se produire sur Compound, car les actifs collatéraux ont une liquidité beaucoup plus importante que MNGO. De plus, Compound exige que les prêts soient surcollatéralisés. Cependant, par excès de prudence, nous proposons de suspendre l’offre pour ces 4 actifs, étant donné leurs profils de liquidité relatifs. »
Finalement, après délibération de la communauté, la proposition a été adoptée haut la main.
Compound v3 : une solution aux risques d’attaques
Comme bon nombre de protocoles DeFi, Compound n’a cessé d’évoluer au fil des années. Ainsi, la version 1 a laissé place à la v2 en mai 2019 avant de laisser elle-même place à la v3 à l’été 2022.
Cependant, bien que de nouvelles versions aient été déployées, les contrats des versions précédentes sont encore accessibles et largement utilisés.
Vis-à-vis du problème des attaques par manipulation d’oracles, la v3 de Compound est bien mieux armée pour résister que la v2. Ainsi, la mise en pause des quatre marchés précédemment cités s’avère également être une manœuvre pour inciter les utilisateurs à favoriser la v3.
« Il est important de noter qu’il s’agit d’un pas en avant pour encourager la migration de Compound V2 vers Compound V3, conformément à la volonté communautaire. Compound V3 comporte beaucoup plus de contrôles des risques, notamment des plafonds d’approvisionnement. »
Aave planche sur le même problème
Comme nous l’avons vu précédemment, Compound n’est pas le seul protocole à être potentiellement menacé par les attaques par manipulation d’oracle.
Ainsi, du côté de la gouvernance d’Aave, les esprits tentent également de mitiger le risque. Comme c’est le cas sur Compound, Aave est peu sujet à ce type d’attaque du fait de la profondeur de ses liquidités. Cependant, prudence est mère de sûreté.
« Cependant, par excès de prudence, nous avons voulu ouvrir le débat au sein de la communauté sur la question de savoir si la DAO d’Aave devrait refuser certains actifs illiquides comme garantie, compte tenu du rapport risque/récompense et de l’utilisation de ces actifs. Les statistiques de liquidité sont fournies ci-dessous. »
Dans le cas d’Aave, les actifs concernés sont les suivants : BAL, BAT, DPI, MANA, REN et ZRX.
De son côté, Aave a également des armes pour se protéger contre ce type d’attaques dans la troisième et dernière version de son protocole. En effet, Aave v3 dispose d’un nouveau type de pools, intitulées isolated pools qui permet de minimiser les risques systémiques.