Une fois d\u00e9velopp\u00e9s, ces smart contracts s\u2019ex\u00e9cutent de fa\u00e7on autonome et utilisent des donn\u00e9es externes (via les oracles) pour par exemple, identifier le prix d\u2019une cryptomonnaie afin que celle-ci soit acquise ou vendue au prix du march\u00e9.<\/p>\n\n\n\n
Ces plateformes ont besoin des liquidit\u00e9s des investisseurs pour fonctionner, et les utilisateurs, en \u00e9change peuvent obtenir des cryptomonnaies, appel\u00e9es jeton de gouvernance qui leur permettront de participer \u00e0 la gouvernance du protocole au m\u00eame titre qu\u2019un actionnaire, qui a un droit de vote dans une soci\u00e9t\u00e9 traditionnelle.<\/p>\n\n\n\n
Ces diverses couches pr\u00e9sentent toutes des risques que l\u2019on peut qualifier des risques inh\u00e9rents de la DeFi<\/em>.<\/p>\n\n\n\n Bien que l’ex\u00e9cution d\u00e9centralis\u00e9e des contrats intelligents ait ses avantages, il existe un risque qu\u2019une ex\u00e9cution tourne mal. S’il y a des erreurs dans le code, ces erreurs peuvent potentiellement cr\u00e9er des vuln\u00e9rabilit\u00e9s qui permettent \u00e0 un hackeur de voler les fonds du contrat intelligent, ou de rendre le protocole inutilisable.<\/p>\n\n\n\n Les investisseurs doivent \u00eatre conscients que le protocole n’est pas aussi s\u00e9curis\u00e9 que les contrats intelligents qui le sous-tendent. Malheureusement, l’utilisateur ordinaire non initi\u00e9 ne sait pas lire le code du contrat, et encore moins \u00e9valuer sa s\u00e9curit\u00e9. Bien que les audits, les services d’assurance et la v\u00e9rification formelle soient des solutions partielles \u00e0 ce probl\u00e8me, un degr\u00e9 d’incertitude demeure.<\/p>\n\n\n\n L\u2019exemple le plus connu est celui du protocole TheDAO<\/em> qui a subi une attaque qui a permis \u00e0 un hackeur de drainer 3.6 millions d\u2019Ethers[1]<\/a> (soit 6 Milliards d\u2019Euros en date du 14 Juillet 2021). Cette attaque remonte \u00e0 Juin 2016. Le but \u00e9tait de mettre en place une plateforme de crowdfunding d\u00e9centralis\u00e9e. Le hackeur a exploit\u00e9 un bug, la fonction split[2]<\/a> lui permettant de siphonner le tiers des fonds du protocole.<\/p>\n\n\n\n Dor\u00e9navant, les plateformes ont toutes une page de sensibilisation sur les risques comme ci-dessous (en anglais) :<\/p>\n\n\n capture d\u2019\u00e9cran d\u2019information sur les investissements en <\/a>DeFi du protocole StakeDAO[3]<\/a><\/p>\n\n\n\n Certains protocoles mettent en place des syst\u00e8mes pour assurer les protocoles (Safety Module[4]<\/a>) fonctionnant comme une caisse d\u2019assurance, qui sont d\u00e9corr\u00e9l\u00e9s du protocole et utilis\u00e9s en cas de d\u00e9faillance de ce dernier.<\/p>\n\n\n\n De plus en plus de protocoles proposent \u00e0 des hackeurs d\u2019explorer les failles dans leurs smart contracts (<\/a>Bug Bounties),<\/a> et en contrepartie, ils per\u00e7oivent une compensation qui peut atteindre des sommes cons\u00e9quentes, comme le protocole xDai STAKE qui propose 2 millions de dollars[5]<\/a> pour ce service.<\/p>\n\n\n\n Exemples de piratage de smart contract :<\/u><\/strong><\/p>\n\n\n\n Les oracles sont des programmes informatiques, qui sont sources de v\u00e9rit\u00e9s ext\u00e9rieures. Elles permettent aux smart contracts de r\u00e9cup\u00e9rer des valeurs externes \u00e0 la blockchain. Par exemple, un oracle sera utilis\u00e9 dans le cadre d\u2019un remboursement d\u00e9centralis\u00e9 pour une assurance d\u2019annulation d\u2019un vol, pour r\u00e9cup\u00e9rer les donn\u00e9es des vols et permettre au smart contract de rembourser s\u2019il y a bien eu annulation du vol assur\u00e9.<\/p>\n\n\n Explication du fonctionnement d\u2019un oracle<\/a><\/p>\n\n\n\n Comme la blockchain n\u2019est responsable que d\u2019elle-m\u00eame, les cons\u00e9quences peuvent \u00eatre d\u00e9sastreuses. Par exemple dans le cadre d\u2019un pari sportif, si l\u2019oracle communique le mauvais vainqueur d\u2019un match, le smart contract enverra les fonds aux mauvaises adresses, ce qui par ailleurs, est une action irr\u00e9versible.<\/p>\n\n\n\n Le protocole Compound a subi un probl\u00e8me d\u2019oracle ayant eu pour cons\u00e9quence, la perte de 89 Millions de dollars[8]<\/a> par les investisseurs. Pour une raison non d\u00e9termin\u00e9e \u00e0 ce jour, l\u2019Oracle utilis\u00e9 par Compound a indiqu\u00e9 temporairement que la valeur du stablecoin DAI valait 1,30[9]<\/a> ce qui a g\u00e9n\u00e9r\u00e9 des liquidations car les emprunts n\u2019\u00e9taient plus suffisamment garantis par le collat\u00e9ral d\u00e9pos\u00e9 par les investisseurs. La probl\u00e9matique ici est que sur tous les march\u00e9s de cryptomonnaies, le DAI valait bien 1.<\/p>\n\n\n\n Il est fondamental pour un protocole de correctement choisir son ou ses oracles. Selon notre exp\u00e9rience, les oracles avantag\u00e9s sont d\u00e9centralis\u00e9s comme Chainlink qui utilise diff\u00e9rents types de donn\u00e9es[10]<\/a>.<\/p>\n\n\n\n Le risque de liquidit\u00e9 d\u00e9signe la possibilit\u00e9 qu\u2019il y ait des fonds ou actifs insuffisants pour r\u00e9aliser la valeur d\u2019un actif financier.<\/p>\n\n\n\n Ce risque est sp\u00e9cifique aux protocoles de Lending (pr\u00eats\/emprunts) qui \u00e0 eux seuls disposent des 50% des fonds verrouill\u00e9s sur la totalit\u00e9 des protocoles DeFi<\/em>.<\/p>\n\n\n\n Exemple :<\/u><\/strong><\/p>\n\n\n\n Antoine d\u00e9pose 10 000 \u20ac (\u00e9quivalent en DAI : 12 000 $) sur AAVE[11]<\/a> pour g\u00e9n\u00e9rer un rendement passif de x%. Si la totalit\u00e9 des DAI sur AAVE sont emprunt\u00e9s par d\u2019autres investisseurs, il ne pourra les r\u00e9cup\u00e9rer que lorsque des DAI seront \u00e0 nouveau disponibles, d\u00e9pos\u00e9s par d\u2019autres investisseurs, ou encore rembours\u00e9s par les emprunteurs.<\/p>\n\n\n\n En date du 14 Juillet 2021, sur AAVE il y avait 1,17 Milliards de DAI d\u00e9pos\u00e9s pour 787.19 Millions de DAI emprunt\u00e9s.<\/p>\n\n\n Capture d\u2019\u00e9cran des r\u00e9serves du stable coin DAI disponible le 14 juillet 2021 sur le protocole <\/a>AAVE[12]<\/a><\/p>\n\n\n\n Ce risque est faible, mais l\u2019investisseur doit \u00eatre sensibilis\u00e9 \u00e0 ce risque.<\/p>\n\n\n\n Une attaque de gouvernance d\u00e9signe l\u2019action de forcer une d\u00e9cision sur un protocole DeFi<\/em>. Dans cette gouvernance, les membres fondateurs, ainsi que les d\u00e9tenteurs des jetons de gouvernance peuvent soumettre au vote des propositions pouvant entra\u00eener des cons\u00e9quences sur le protocole, ou encore sur la valeur de la cryptomonnaie du protocole en fonction des r\u00e9sultats des votes soumis. Cette gouvernance pr\u00e9sente deux faiblesses majeures :<\/p>\n\n\n\n Un des premiers points \u00e0 v\u00e9rifier lors de l\u2019analyse d\u2019un protocole, est de voir le pourcentage de jetons poss\u00e9d\u00e9s par les fondateurs. Si les fondateurs disposent de la majorit\u00e9 des jetons, cette gouvernance \u00ab d\u00e9centralis\u00e9e \u00bb peut \u00eatre compromise car ils pourront prendre toutes les d\u00e9cisions sans tenir compte de l\u2019avis des utilisateurs.<\/p>\n\n\n\n Par ailleurs, au niveau de la DAO, il faut \u00e9valuer les questions suivantes : <\/strong><\/p>\n\n\n\n Ci-dessous un exemple qui pourrait \u00eatre consid\u00e9r\u00e9 comme une attaque de gouvernance :<\/p>\n\n\n\n La proposition consistait \u00e0 allouer entre 1 et 1.5 Millions de jetons UNI (entre 15 et 20 Millions de dollars au cours du 14 juillet 2021) de la tr\u00e9sorerie du protocole UNISWAP et les allouer aux lobbyistes pour d\u00e9fendre le protocole et la DeFi<\/em> de mani\u00e8re g\u00e9n\u00e9rale. En 3 jours, la proposition a \u00e9t\u00e9 vot\u00e9e par 450 adresses (ne signifiant pas 450 personnes diff\u00e9rentes) et le OUI a emport\u00e9 avec environ 68 %. Ce qui est important<\/strong> dans l\u2019image ci-dessous est que sur les 68 % de OUI d\u00e9tenant 37,45 Millions d\u2019UNI, il n\u2019y avait que 3 wallets ayant r\u00e9pondu \u00ab OUI \u00bb et qui d\u00e9tenaient \u00e0 eux trois, 28.71 Millions d\u2019UNI soit 77 %. Il peut \u00eatre interpr\u00e9t\u00e9 que ces 3 wallets se sont concert\u00e9s, ou appartiennent \u00e0 une m\u00eame personne ou une entit\u00e9 commune.<\/p>\n\n\n Image <\/strong><\/a>9<\/strong> :<\/strong> capture d\u2019\u00e9cran d\u2019un vote r\u00e9alis\u00e9 sur la DAO d\u2019UNISWAP d\u00e9montrant un exemple d\u2019attaque de gouvernance[13]<\/strong><\/a><\/p>\n\n\n\n Ce risque de gouvernance ne doit pas \u00eatre n\u00e9glig\u00e9 car il peut affaiblir le protocole, et mettre en danger l\u2019investissement r\u00e9alis\u00e9.<\/p>\n\n\n\n Le graphique ci-dessous met en \u00e9vidence les montants perdus par trimestre par les protocoles DeFi<\/em> en raison des fraudes et des piratages.<\/p>\n\n\n \u00c9volution des piratages et fraudes par trimestre en DeFi entre janvier 2020 et avril 2021<\/a>[14]<\/strong><\/a><\/p>\n\n\n\n Selon cette analyse de CipherTrace, plus de 130 Millions de dollars ont \u00e9t\u00e9 perdus au deuxi\u00e8me trimestre 2021, soit 6 fois plus qu\u2019au deuxi\u00e8me trimestre 2020. Par ailleurs, sur ces 130 Millions, environs 83.4 Millions sont li\u00e9s \u00e0 des Rug Pulls, soit plus de 60 % des pertes.<\/p>\n\n\n\n Le Rug Pull que l\u2019on peut traduire par retirer l\u2019\u00e9chelle, consiste en un siphonnage des fonds par les fondateurs.<\/p>\n\n\n\n Ci-dessous deux fa\u00e7ons de proc\u00e9der :<\/p>\n\n\n\n L\u2019investisseur dans le cadre de sa prise de connaissance du protocole se doit de poser les questions ci-dessous concernant les membres fondateurs :<\/p>\n\n\n\n Par exemple, si le fondateur a une soci\u00e9t\u00e9 avec des difficult\u00e9s financi\u00e8res, et qu\u2019il d\u00e9veloppe un protocole DeFi<\/em>, il peut \u00eatre tent\u00e9 d\u2019utiliser les fonds verrouill\u00e9s sur son protocole pour sa soci\u00e9t\u00e9 en difficult\u00e9.<\/p>\n\n\n\n En conclusion de cette premi\u00e8re partie sur les risques, l\u2019investisseur doit peser le pour et le contre en tenant compte de ces risques avant de placer son capital sur un protocole DeFi<\/em>.<\/p>\n\n\n\n [1]<\/a> https:\/\/bitconseil.fr\/thedao-hack-etat-lieux-perspectives\/<\/a><\/p>\n\n\n\n [2]<\/a> https:\/\/daowiki.atlassian.net\/wiki\/spaces\/DAO\/pages\/3833911\/How+to+split+the+DAO+Step-by-Step<\/a><\/p>\n\n\n\n [3]<\/a> https:\/\/stakedao.org\/fr\/risks<\/a><\/p>\n\n\n\n [4]<\/a> https:\/\/docs.aave.com\/aavenomics\/safety-module<\/a><\/p>\n\n\n\n [5]<\/a> https:\/\/immunefi.com\/explore\/?filter=immunefi&sort=reward%3Adesc<\/a><\/p>\n\n\n\n [6]<\/a> https:\/\/research.kudelskisecurity.com\/2021\/08\/12\/the-poly-network-hack-explained\/<\/a><\/p>\n\n\n\n [7]<\/a> https:\/\/www.cnbc.com\/2021\/08\/11\/cryptocurrency-theft-hackers-steal-600-million-in-poly-network-hack.html<\/a><\/p>\n\n\n\n [8]<\/a> https:\/\/news.bitcoin.com\/100-million-liquidated-on-defi-protocol-compound-following-oracle-exploit\/<\/a><\/p>\n\n\n\n [9]<\/a> Le stablecoin suivant le cours d\u2019une monnaie FIAT doit toujours \u00eatre \u00e9gal \u00e0 1<\/p>\n\n\n\n [10]<\/a> https:\/\/fr.cryptonews.com\/exclusives\/chainlink-l-oracle-decentralise-de-la-defi-9453.htm<\/a><\/p>\n\n\n\n [11]<\/a> https:\/\/aave.com\/<\/a><\/p>\n\n\n\n [12]<\/a> https:\/\/app.aave.com\/markets<\/a><\/p>\n\n\n\n [13]<\/a> https:\/\/snapshot.org\/#\/uniswap\/proposal\/QmVXXEXJJKjFJtwXyy4Xx3gBckhz6TvorZoLgX3yiB7Hki<\/a><\/p>\n\n\n\n [14]<\/a> https:\/\/ciphertrace.com\/cryptocurrency-crime-and-anti-money-laundering-report-may-2021\/<\/a><\/p>","protected":false},"excerpt":{"rendered":" Quels sont les risques inh\u00e9rents des protocoles de la DeFi?<\/p>","protected":false},"author":1,"featured_media":2967,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[42],"tags":[53,60,52,58,54,57,55,59,56],"class_list":["post-2961","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-formations","tag-comptable","tag-comptacrypto","tag-crypto","tag-decentralisee","tag-expertcomptablecrypto","tag-finance","tag-financedecentralisee","tag-risques","tag-web3"],"_links":{"self":[{"href":"https:\/\/hodl-consulting.com\/en\/wp-json\/wp\/v2\/posts\/2961","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hodl-consulting.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hodl-consulting.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hodl-consulting.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/hodl-consulting.com\/en\/wp-json\/wp\/v2\/comments?post=2961"}],"version-history":[{"count":2,"href":"https:\/\/hodl-consulting.com\/en\/wp-json\/wp\/v2\/posts\/2961\/revisions"}],"predecessor-version":[{"id":2970,"href":"https:\/\/hodl-consulting.com\/en\/wp-json\/wp\/v2\/posts\/2961\/revisions\/2970"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hodl-consulting.com\/en\/wp-json\/wp\/v2\/media\/2967"}],"wp:attachment":[{"href":"https:\/\/hodl-consulting.com\/en\/wp-json\/wp\/v2\/media?parent=2961"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hodl-consulting.com\/en\/wp-json\/wp\/v2\/categories?post=2961"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hodl-consulting.com\/en\/wp-json\/wp\/v2\/tags?post=2961"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}1 Risques li\u00e9s au smart contract<\/a><\/h4>\n\n\n\n
![\"\"](\"https:\/\/hodl-consulting.com\/wp-content\/uploads\/2022\/11\/Image13.png\")
<\/figure>\n<\/div>\n\n\n\n
\n
\n
2 Risque li\u00e9 aux oracles utilis\u00e9s<\/a><\/h4>\n\n\n\n
![\"\"](\"https:\/\/hodl-consulting.com\/wp-content\/uploads\/2022\/11\/Image14.png\")
<\/figure>\n<\/div>\n\n\n3 Risque li\u00e9 \u00e0 la liquidit\u00e9<\/a><\/h4>\n\n\n\n
![\"\"](\"https:\/\/hodl-consulting.com\/wp-content\/uploads\/2022\/11\/Image15.png\")
<\/figure>\n<\/div>\n\n\n4 Risque li\u00e9 \u00e0 l\u2019attaque de gouvernance<\/a><\/h4>\n\n\n\n
\n
\n
![\"\"](\"https:\/\/hodl-consulting.com\/wp-content\/uploads\/2022\/11\/Image16.png\")
<\/figure>\n<\/div>\n\n\n5 Risque li\u00e9 aux fondateurs (Rug Pull)<\/a><\/h4>\n\n\n\n
![\"\"](\"https:\/\/hodl-consulting.com\/wp-content\/uploads\/2022\/11\/Image17.png\")
<\/figure>\n<\/div>\n\n\n\n
\n
\n\n\n\n