Flash loan, la bête noire de la DeFi – Malgré son essor fulgurant, l’écosystème DeFi souffre de plusieurs maux, dont les attaques par flash loans. Selon le co-fondateur de ChainLink, ces dernières vont s’intensifier dans le temps.
Attaque flash loan : le réel problème de la DeFi
Jusqu’à présent, l’année 2020 a été celle de la DeFi. Malheureusement, en parallèle avec son essor, de nombreux hacks ont entaché sa réputation.
Parmi ces hacks, une constante semble persister, celle des flash loans. Parmi les victimes, on peut citer Origin Protocol, Value DeFi, Harvest ou encore Akropolis.
Interviewé dans le cadre du podcast Decrypt, le CEO et co-fondateur du protocole Chainlink, Sergey Nazarov, pointe du doigt le manque de diversification des sources d’oracles utilisés par les projets DeFi. Pour rappel, les oracles sont des programmes qui permettent à un smart contract de récupérer des données hors de la blockchain.
« La véritable nature de l’attaque réside dans le fait qu’il n’y ait qu’un seul fournisseur de données sur les prix, un seul échange. Dans les cas que nous voyons actuellement dans la DeFi, pour faciliter et accélérer le développement, des développeurs ont utilisé des échanges décentralisés on chain et des infrastructures d’échanges on chain pour récupérer les prix utilisés dans leur application DeFi. »
Sergey Nazarov
Ainsi, comme il le souligne, ce manque de diversification dans les sources permet aux attaquants de manipuler lesdites sources à leur avantage :
« Il suffit de manipuler l’order book de cet échange, ce qui signifie que l’on n’a même pas besoin de savoir comment coder. Ces attaques n’exigent même pas vraiment que les gens soient très bons en développement de logiciels, en piratage ou autres. Elles exigent juste que les gens aient assez d’argent pour manipuler un prix sur une bourse unique que les gens pensaient être sûre. »
C’est là qu’entre en jeu les flash loans. En effet, ces prêts instantanés permettent à un utilisateur d’emprunter d’importants capitaux, le temps d’une transaction. Malheureusement, c’est le temps nécessaire pour mener une attaque.
Comment mitiger le problème ?
Bien que certaines plateformes tentent de mitiger ce problème en intégrant plusieurs sources, ces dernières tendent à rester des sources on chain et, de fait, des sources potentiellement manipulables.
« Au lieu de manipuler un seul échange, ce qui est évidemment plus facile, la version la plus avancée de cette attaque est la manipulation de 2, 3 ou 4 échanges sur lesquels un protocole DeFi s’appuie pour obtenir ses données de prix. Et nous savons absolument que c’est possible parce que nous regardons les données de prix quotidiennement. »
Sergey Nazarov
Pour réellement mitiger la possibilité d’attaque par flash loan, les protocoles devront diversifier leurs sources de données en y ajoutant des sources « réelles » hors des diverses sources on chain existantes.
Heureusement, des solutions comme Chainlink permettent d’éradiquer le problème en se basant sur des centaines de sources, aussi bien on chain qu’off chain.
