27 millions $ liquidés « inutilement » ? Pac Finance sur Blast dans la tourmente
Une erreur à 8 chiffres en dollars. Décidément, et même si elle n’y est pour rien directement, c’est une série noire pour la Layer 2 Blast, où des catastrophes s’enchaînent. Cette solution de seconde couche (L2) du réseau Ethereum (ETH) avait déjà vu 62 millions de dollars piratés sur le protocole Munchables il y a quelques jours. Et aujourd’hui, c’est le service de lending décentralisé de Pac Finance qui a manifestement été victime d’un gros raté.
Des millions de dollars liquidés suite à un changement de paramètres
C’est ce 11 avril 2024 qu’un gros souci est survenu sur le protocole de finance décentralisée (DeFi) appelé Pac Finance. Ce dernier propose un service de prêt/taux d’intérêt (lending) et est basé le réseau L2 Blast.
Comme le rapporte notamment The Block, ce service de lending (qui est un fork d’Aave) a vu un total de liquidation de 26,8 millions de dollars de positions en ezETH (des tokens représentant des ethers stakés).
Il semblerait qu’un développeur de Pac Finance ait abaissé le seuil de liquidation des prêts en ezETH « sans annonce préalable ni délai », ce qui a par conséquence entraîné les liquidations de toutes les positions qui se maintenaient juste au-dessus de ce seuil.
Pac Finance se serait juste trompé, une erreur à 27 millions $ pour ses utilisateurs
Le pire, c’est qu’il s’agirait manifestement d’une erreur qui serait involontaire selon Pac Finance. En effet, en voulant modifier le Loan To Value (LTV) – le rapport prêt-valeur, dans la langue de Molière -, un programmeur de smart contract a provoqué la baisse du seuil du liquidation (ou LT, pour Liquidation Threshold)
Une bourde qui a donc coûté très cher aux utilisateurs de Pac Finance, qui respectaient pourtant le précédent seuil fixé, et qui ont vu leurs ezETH mis en gage pour leur prêt être subitement (et surtout inutilement !) liquidés. Les équipes de Pac Finance assurent vouloir trouver des mesures de compensation avec les utilisateurs lésés.
« (…) Nous sommes conscients du problème et sommes en contact avec les utilisateurs concernés, développant activement un plan avec eux pour atténuer le problème.
Réponse de Pac Finance
Dans le cadre de nos efforts pour ajuster le LTV, nous avons chargé un ingénieur en smart contracts d’effectuer les changements nécessaires. Cependant, il a été découvert que le seuil de liquidation a été modifié de manière inattendue sans notification préalable à notre équipe, ce qui a conduit au problème actuel. (…) »
Bien que décentralisée sur réseaux blockchains, la finance par smart contracts reste soumise à des failles et erreurs humaines des développeurs de ces contrats. Et dans le cas des failles, il y aura toujours un hacker prêt à les exploiter rapidement pour récolter de très précieux crypto-actifs. Restez donc vigilant quand un protocole DeFi est encore jeune. À moins que vous vouliez vraiment passer l’épreuve du feu avec lui.