Finance buguée. Si le fait n’était pas clair pour tout le monde, la finance décentralisée (DeFi) est un laboratoire crypto à ciel ouvert. Il suffit d’avoir été associé à l’un de ses innombrables hacks pour comprendre plus clairement la signification de cette première affirmation. Avec un préjudice abyssal estimé à 3,9 milliards de dollars pour la seule année 2022. Et des développeurs parfois un peu légers sur la qualité des codes qu’ils mettent en ligne. Dernier exemple en date, un « script multisig défectueux » qui aurait entrainé l’effacement de 63 % d’une position dans la trésorerie du protocole Yearn Finance (YFI). Explications…
Un bug à 1,4 million de dollars
Les erreurs n’ont définitivement pas la même dimension dans tous les domaines. Et dès qu’il s’agit de la DeFi, les conséquences se mesurent la plupart du temps en millions de dollars perdus au profit des hackers. Avec comme destination bien souvent privilégiée, le portefeuille du dirigeant nord coréen, Kim Jung-un, et son délire de programme nucléaire.
Toutefois, certains bugs sont parfois plus « contrôlés ». Comme dans le récent cas du protocole Yearn Finance, visiblement touché par un « script multisig défectueux » au cours d’une opération présentée comme régulière. Avec comme conséquence directe, l’effacement de 1,4 million de dollars. Et plus précisément, l’échange involontaire de 3 794 894 jetons lp-yCRVv2 contre 779 958 jetons yvDAI.
« Au cours d’un processus régulier de conversion de jetons de frais au nom de la trésorerie de Yearn, un script multisig défectueux a provoqué l’échange de la totalité du solde de la trésorerie de Yearn, soit 3 794 894 jetons lp-yCRVv2. En prenant en compte les 779 958 jetons yvDAI reçus lors de cette transaction, environ 63 % de la valeur du LP a été perdue à cause du glissement, en utilisant le prix au comptant lp-yCRVv2 au moment de la transaction. »
Yearn Finance
Le protocole Yearn Finance s’est aussitôt empressée de rassurer sa communauté. Car « ce montant correspondait strictement à des liquidités protocolaires (POL) appartenant à la trésorerie de Yearn et ne contenait aucun fonds d’utilisateur ». Au contraire…
Merci de restituer un montant « raisonnable »
Mais nous sommes dans la DeFi, donc l’affaire ne s’arrête pas aussi simplement. En effet, ce bug a entraîné le transfert de l’intégralité du solde de cette trésorerie vers le trading multisig. Et comme « le script utilisé pour échanger des jetons manquait de contrôles de sortie suffisants », cela a entraîné un glissement important des prix.
De ce fait, même si les choses sont rapidement rentrées dans l’ordre, certains traders ont bien évidemment profité de la situation pour faire de très belles opérations. C’est la raison pour laquelle le protocole Yearn Finance compte sur leur bonne volonté pour « restituer un montant qu’ils jugent raisonnable au multisig principal de Yearn ». Ou comment tester dans les faits l’engagement de sa communauté.
« Nous attendons la restitution des fonds. Les canaux de communication sont ouverts. »
Yearn Finance
Une situation impossible à vivre ailleurs que dans le secteur de la DeFi. Avec une perte qui représente tout de même 2 % de l’ensemble de la trésorerie détenue par le protocole Yearn Finance. Et avec l’exploitation d’une faille à 10 millions de dollars subie en avril dernier, cela commence à ressembler à une mauvaise série. Mais les développeurs sont déjà sur le pont afin de colmater cette brèche.
