Les plateformes (ou protocoles) DeFi sont assez similaires dans leur mode de fonctionnement : Les fondateurs proposent des instruments financiers en programmant des smarts-contracts, et utilisent la blockchain, pour se substituer au tiers de confiance.

Une fois développés, ces smart contracts s’exécutent de façon autonome et utilisent des données externes (via les oracles) pour par exemple, identifier le prix d’une cryptomonnaie afin que celle-ci soit acquise ou vendue au prix du marché.

Ces plateformes ont besoin des liquidités des investisseurs pour fonctionner, et les utilisateurs, en échange peuvent obtenir des cryptomonnaies, appelées jeton de gouvernance qui leur permettront de participer à la gouvernance du protocole au même titre qu’un actionnaire, qui a un droit de vote dans une société traditionnelle.

Ces diverses couches présentent toutes des risques que l’on peut qualifier des risques inhérents de la DeFi.

1 Risques liés au smart contract

Bien que l’exécution décentralisée des contrats intelligents ait ses avantages, il existe un risque qu’une exécution tourne mal. S’il y a des erreurs dans le code, ces erreurs peuvent potentiellement créer des vulnérabilités qui permettent à un hackeur de voler les fonds du contrat intelligent, ou de rendre le protocole inutilisable.

Les investisseurs doivent être conscients que le protocole n’est pas aussi sécurisé que les contrats intelligents qui le sous-tendent. Malheureusement, l’utilisateur ordinaire non initié ne sait pas lire le code du contrat, et encore moins évaluer sa sécurité. Bien que les audits, les services d’assurance et la vérification formelle soient des solutions partielles à ce problème, un degré d’incertitude demeure.

L’exemple le plus connu est celui du protocole TheDAO qui a subi une attaque qui a permis à un hackeur de drainer 3.6 millions d’Ethers[1] (soit 6 Milliards d’Euros en date du 14 Juillet 2021). Cette attaque remonte à Juin 2016. Le but était de mettre en place une plateforme de crowdfunding décentralisée. Le hackeur a exploité un bug, la fonction split[2] lui permettant de siphonner le tiers des fonds du protocole.

Dorénavant, les plateformes ont toutes une page de sensibilisation sur les risques comme ci-dessous (en anglais) :

capture d’écran d’information sur les investissements en DeFi du protocole StakeDAO[3]

Certains protocoles mettent en place des systèmes pour assurer les protocoles (Safety Module[4]) fonctionnant comme une caisse d’assurance, qui sont décorrélés du protocole et utilisés en cas de défaillance de ce dernier.

De plus en plus de protocoles proposent à des hackeurs d’explorer les failles dans leurs smart contracts (Bug Bounties), et en contrepartie, ils perçoivent une compensation qui peut atteindre des sommes conséquentes, comme le protocole xDai STAKE qui propose 2 millions de dollars[5] pour ce service.

Exemples de piratage de smart contract :

1. Il a été dérobé à Poly Network une somme de 610 millions $ le 10 août 2021. Le hackeur a réussi à accéder aux clés administrateurs[6] du smart contract. Il s’agit du plus gros piratage de la DeFi. Depuis, le hackeur a rendu la totalité des fonds[7] au protocole en les sensibilisant sur les mesures à prendre contre les vulnérabilités humaines.

• Uranium Finance a fait l’objet d’un vol de 57 millions $ le 28 avril 2021. Le hackeur a découvert une erreur dans le smart contract sur la fonction « withdraw » (retirer), qui lui a permis de retirer les cryptomonnaies du protocole.

• Popsicle Finance a été délesté de 20,5 millions $ le 03 août 2021. Le hackeur a réussi à modifier les fonctionnalités de récompenses attribuées aux utilisateurs, sur son propre wallet permettant ainsi de réaliser ce vol.

2 Risque lié aux oracles utilisés

Les oracles sont des programmes informatiques, qui sont sources de vérités extérieures. Elles permettent aux smart contracts de récupérer des valeurs externes à la blockchain. Par exemple, un oracle sera utilisé dans le cadre d’un remboursement décentralisé pour une assurance d’annulation d’un vol, pour récupérer les données des vols et permettre au smart contract de rembourser s’il y a bien eu annulation du vol assuré.

Explication du fonctionnement d’un oracle

Comme la blockchain n’est responsable que d’elle-même, les conséquences peuvent être désastreuses. Par exemple dans le cadre d’un pari sportif, si l’oracle communique le mauvais vainqueur d’un match, le smart contract enverra les fonds aux mauvaises adresses, ce qui par ailleurs, est une action irréversible.

Le protocole Compound a subi un problème d’oracle ayant eu pour conséquence, la perte de 89 Millions de dollars[8] par les investisseurs. Pour une raison non déterminée à ce jour, l’Oracle utilisé par Compound a indiqué temporairement que la valeur du stablecoin DAI valait 1,30[9] ce qui a généré des liquidations car les emprunts n’étaient plus suffisamment garantis par le collatéral déposé par les investisseurs. La problématique ici est que sur tous les marchés de cryptomonnaies, le DAI valait bien 1.

Il est fondamental pour un protocole de correctement choisir son ou ses oracles. Selon notre expérience, les oracles avantagés sont décentralisés comme Chainlink qui utilise différents types de données[10].

3 Risque lié à la liquidité

Le risque de liquidité désigne la possibilité qu’il y ait des fonds ou actifs insuffisants pour réaliser la valeur d’un actif financier.

Ce risque est spécifique aux protocoles de Lending (prêts/emprunts) qui à eux seuls disposent des 50% des fonds verrouillés sur la totalité des protocoles DeFi.

Exemple :

Antoine dépose 10 000 € (équivalent en DAI : 12 000 $) sur AAVE[11] pour générer un rendement passif de x%. Si la totalité des DAI sur AAVE sont empruntés par d’autres investisseurs, il ne pourra les récupérer que lorsque des DAI seront à nouveau disponibles, déposés par d’autres investisseurs, ou encore remboursés par les emprunteurs.

En date du 14 Juillet 2021, sur AAVE il y avait 1,17 Milliards de DAI déposés pour 787.19 Millions de DAI empruntés.

Capture d’écran des réserves du stable coin DAI disponible le 14 juillet 2021 sur le protocole AAVE[12]

Ce risque est faible, mais l’investisseur doit être sensibilisé à ce risque.

4 Risque lié à l’attaque de gouvernance

Une attaque de gouvernance désigne l’action de forcer une décision sur un protocole DeFi. Dans cette gouvernance, les membres fondateurs, ainsi que les détenteurs des jetons de gouvernance peuvent soumettre au vote des propositions pouvant entraîner des conséquences sur le protocole, ou encore sur la valeur de la cryptomonnaie du protocole en fonction des résultats des votes soumis. Cette gouvernance présente deux faiblesses majeures :

• 1 Jeton de gouvernance = 1 voix. Tout intéressé ayant des moyens financiers et de mauvaises intentions peut apporter le chaos sur le protocole.
• La majorité des détenteurs de ces jetons de gouvernance ne votent pas, ce qui a pour conséquence que les quelques-uns qui votent peuvent fortement influencer le cours des choses.

Un des premiers points à vérifier lors de l’analyse d’un protocole, est de voir le pourcentage de jetons possédés par les fondateurs. Si les fondateurs disposent de la majorité des jetons, cette gouvernance « décentralisée » peut être compromise car ils pourront prendre toutes les décisions sans tenir compte de l’avis des utilisateurs.

Par ailleurs, au niveau de la DAO, il faut évaluer les questions suivantes :

• Comment fonctionne la soumission d’une proposition ?
• Comment sont-elles examinées et améliorées ?
• Quel est le délai entre le vote et l’exécution ? si le smart contract peut être modifié aussitôt que le vote est passé, les utilisateurs ne peuvent rien intenter.

Ci-dessous un exemple qui pourrait être considéré comme une attaque de gouvernance :

La proposition consistait à allouer entre 1 et 1.5 Millions de jetons UNI (entre 15 et 20 Millions de dollars au cours du 14 juillet 2021) de la trésorerie du protocole UNISWAP et les allouer aux lobbyistes pour défendre le protocole et la DeFi de manière générale. En 3 jours, la proposition a été votée par 450 adresses (ne signifiant pas 450 personnes différentes) et le OUI a emporté avec environ 68 %. Ce qui est important dans l’image ci-dessous est que sur les 68 % de OUI détenant 37,45 Millions d’UNI, il n’y avait que 3 wallets ayant répondu « OUI » et qui  détenaient à eux trois, 28.71 Millions d’UNI soit 77 %. Il peut être interprété que ces 3 wallets se sont concertés, ou appartiennent à une même personne ou une entité commune.

Image 9 : capture d’écran d’un vote réalisé sur la DAO d’UNISWAP démontrant un exemple d’attaque de gouvernance[13]

Ce risque de gouvernance ne doit pas être négligé car il peut affaiblir le protocole, et mettre en danger l’investissement réalisé.

5 Risque lié aux fondateurs (Rug Pull)

Le graphique ci-dessous met en évidence les montants perdus par trimestre par les protocoles DeFi en raison des fraudes et des piratages.

Évolution des piratages et fraudes par trimestre en DeFi entre janvier 2020 et avril 2021[14]

Selon cette analyse de CipherTrace, plus de 130 Millions de dollars ont été perdus au deuxième trimestre 2021, soit 6 fois plus qu’au deuxième trimestre 2020. Par ailleurs, sur ces 130 Millions, environs 83.4 Millions sont liés à des Rug Pulls, soit plus de 60 % des pertes.

Le Rug Pull que l’on peut traduire par retirer l’échelle, consiste en un siphonnage des fonds par les fondateurs.

Ci-dessous deux façons de procéder :

• Développer un protocole qui n’acceptera que le dépôt des cryptomonnaies ayant une liquidité importante en contrepartie des rendements dépassant les 3 chiffres. Quelques heures ou jours après, et une fois que le protocole a récolté assez de dépôts, les fondateurs disparaissent avec les fonds
• Développer un protocole et proposer une nouvelle cryptomonnaie, l’offrir aux premiers utilisateurs sous forme d’Airdrop et autres manières, les utilisateurs commencent à la promouvoir, la cryptomonnaie prend ainsi de la valeur, et les fondateurs se retirent du projet en vendant la totalité de leurs cryptomonnaies faisant baisser drastiquement le cours de celle-ci

L’investisseur dans le cadre de sa prise de connaissance du protocole se doit de poser les questions ci-dessous concernant les membres fondateurs :

• Sont-ils légitimes ? Impliqués dans l’écosystème ?
• Vérification des antécédents : sont-ils exposés dans une escroquerie ? Que faisaient-ils avant le développement du protocole proposé ?
• Vérification du présent : en plus de leur implication dans le protocole créé, ont-ils d’autres activités pouvant donner lieu à un conflit d’intérêt potentiel ?

Par exemple, si le fondateur a une société avec des difficultés financières, et qu’il développe un protocole DeFi, il peut être tenté d’utiliser les fonds verrouillés sur son protocole pour sa société en difficulté.

En conclusion de cette première partie sur les risques, l’investisseur doit peser le pour et le contre en tenant compte de ces risques avant de placer son capital sur un protocole DeFi.

[1] https://bitconseil.fr/thedao-hack-etat-lieux-perspectives/

[2] https://daowiki.atlassian.net/wiki/spaces/DAO/pages/3833911/How+to+split+the+DAO+Step-by-Step

[3] https://stakedao.org/fr/risks

[4] https://docs.aave.com/aavenomics/safety-module

[5] https://immunefi.com/explore/?filter=immunefi&sort=reward%3Adesc

[6] https://research.kudelskisecurity.com/2021/08/12/the-poly-network-hack-explained/

[7] https://www.cnbc.com/2021/08/11/cryptocurrency-theft-hackers-steal-600-million-in-poly-network-hack.html

[8] https://news.bitcoin.com/100-million-liquidated-on-defi-protocol-compound-following-oracle-exploit/

[9] Le stablecoin suivant le cours d’une monnaie FIAT doit toujours être égal à 1

[10] https://fr.cryptonews.com/exclusives/chainlink-l-oracle-decentralise-de-la-defi-9453.htm

[11] https://aave.com/

[12] https://app.aave.com/markets

[13] https://snapshot.org/#/uniswap/proposal/QmVXXEXJJKjFJtwXyy4Xx3gBckhz6TvorZoLgX3yiB7Hki

[14] https://ciphertrace.com/cryptocurrency-crime-and-anti-money-laundering-report-may-2021/