Pourquoi les protocoles Solana DeFi continuent-ils d'être exploités ?

Les marchés de la mangue de Solana et Solend ont tous deux été attaqués ces dernières semaines. 

Solana DeFi a encore attaqué

Un autre protocole Solana DeFi a été exploité. 

Solend, un protocole de prêt et d'emprunt basé sur Solana, a rapporté qu'un attaquant avait vidé mercredi 1.26 million de dollars des fonds des utilisateurs. L'exploit était dû à une attaque oracle, ce qui signifie qu'un attaquant a manipulé les prix oracle de certains actifs volatils pour emprunter des fonds de protocole contre eux avec une valeur réelle plus élevée. 

Solend a reconnu l'exploit sur Twitter, révélant que trois pools de prêts avaient été touchés. "Une attaque oracle contre l'USDH affectant les pools isolés Stable, Coin98 et Kamino a été détectée, entraînant une créance irrécouvrable de 1.26 million de dollars", a tweeté le protocole.

La « créance irrécouvrable » se produit lorsqu'un attaquant trompe les oracles de prix d'un protocole en évaluant les actifs de garantie à un niveau supérieur à ce qu'ils devraient être. Cela leur donne un « crédit » pour emprunter des fonds à un protocole avec une valeur réelle supérieure à leur garantie gonflée. Dans ce cas, l'attaquant a emprunté des fonds stables USDH sans intention de les rembourser, ce qui a entraîné une perte nette de 1.26 million de dollars pour le protocole. 

Peu de temps après l'attaque, son collègue du protocole Solana DeFi SolBlaze annoncé il avait découvert l'une des identités pseudonymes de l'attaquant. "Nous avons découvert un contact connu pour le pirate... et avons travaillé en étroite collaboration avec l'équipe de Solend au cours de la dernière demi-heure pour les mettre en contact avec le pirate afin de parvenir à une résolution", a-t-il déclaré. Il n'est pas encore clair si Solend sera en mesure de parvenir à une résolution avec l'attaquant pour protéger les fonds des utilisateurs. 

L'exploit Solend d'aujourd'hui n'est pas la première fois que la manipulation des prix oracle est utilisée pour attaquer les protocoles DeFi sur Solana. Le mois dernier, la plateforme de trading décentralisée Mango Markets a été Exploités pour plus de 100 millions de dollars lorsqu'un attaquant a fait grimper le prix du jeton MNGO natif du protocole. Cela a permis à l'attaquant de contracter une série de prêts importants auprès de plusieurs pools de jetons, vidant ainsi le protocole de sa liquidité.

Avraham Eisenberg, un "théoricien des jeux appliqués" autoproclamé basé à New York, plus tard révélé qu'il avait exécuté l'attaque aux côtés d'une équipe. Mango Markets a conclu un accord avec Eisenberg, lui assurant que le protocole ne poursuivrait pas de poursuites judiciaires contre lui en échange de 53 millions de dollars d'actifs volés. Bien qu'Eisenberg maintienne que ses actions ne constituaient pas un exploit, mais plutôt, selon ses termes, une « stratégie commerciale hautement rentable », la plupart des spectateurs n'étaient pas convaincus. 

Faible liquidité, coût élevé

La raison pour laquelle les attaquants ont réussi à manipuler les oracles de prix sur Solana se résume aux faibles niveaux de liquidité sur la blockchain.

Au cours de la course haussière de 2021, la valeur totale verrouillée dans les protocoles Solana DeFi a grimpé en flèche, atteignant un sommet de 10.17 milliards de dollars en novembre, par données de DéfiLlama. Cependant, près d'un an après le début de l'hiver crypto actuel, la liquidité sur Solana se tarit. Le réseau n'héberge actuellement que 940 millions de dollars d'actifs, ce qui représente une baisse de 90 %. De plus, l'activité en chaîne de Solana, qui agit comme une heuristique approximative pour la quantité de transactions sur le réseau, a également abandonné ces derniers mois. 

À l'époque où Solana disposait de liquidités suffisantes, de nombreux protocoles DeFi ont commencé à permettre aux utilisateurs de déposer des jetons moins connus en garantie pour contracter des prêts ou échanger contre. Bien que les jetons comme MNGO n'aient pas été échangés autant que les produits de base de l'écosystème tels que SOL, USDC et ETH, la liquidité était suffisamment élevée pour que les positions soient liquidées en cas de défaillance d'un utilisateur. 

Cependant, il s'avère que la possibilité de liquider ces fonds de garantie n'était pas le plus gros problème pour les protocoles. Avec la liquidité et l'activité commerciale sur Solana en baisse quotidienne, il est devenu beaucoup plus facile de manipuler le prix des jetons de garantie illiquides. Tenter une attaque d'oracle au plus fort du marché haussier aurait été futile et aurait presque certainement fait perdre de l'argent à l'attaquant. Mais dans les conditions actuelles, de tels exploits sont devenus de plus en plus lucratifs, tant que l'attaquant a suffisamment d'argent pour faire bouger les prix en premier lieu. 

Ceux qui ont de l'argent déposé dans les protocoles Solana DeFi doivent se méfier des risques de la situation actuelle. Bien que tous les protocoles ne soient pas vulnérables, ceux qui offrent des jetons plus exotiques en garantie pourraient être à risque. Eisenberg a mis en évidence exploits potentiels utilisant des méthodes de manipulation de prix similaires à son attaque sur Mango Markets, montrant qu'il recherche activement des protocoles vulnérables. Si la liquidité sur les chaînes de couche 1 comme Solana continue de baisser, nous verrons probablement plus d'attaques d'oracles de prix similaires aux exploits de Solend et Mango Markets à l'avenir. 

Divulgation: Au moment de la rédaction de cet article, l'auteur possédait SOL et plusieurs autres actifs numériques.