Un manipulateur de marché inconnu a lancé la semaine dernière une attaque d'arbitrage élaborée contre le protocole de prêt de financement décentralisé bZx. Le mauvais acteur a emporté $350 000 USD en éther. Les têtes de bZx ont à nouveau tourné quelques jours plus tard lorsqu'elles ont subi une autre attaque par oracle. Le coupable, dont l'apparence laissait penser qu'il s'agissait du même agent que celui à l'origine du premier incident, s'est emparé d'environ $650 000 en Ethereum. Les prêts flash étaient à l'honneur dans les deux épisodes. Ce nouveau type de primitif DeFi permet aux utilisateurs d'effectuer des opérations financières complexes en une seule transaction. Les prêts flash sont un moyen de créer un prêt et de le faire rembourser en une seule transaction. Il s'agit d'un outil puissant qui, selon la cryptoéconomie, peut être utilisé à des fins tant positives que négatives. En ce qui concerne ce dernier point, le groupe bZx a pris des mesures d'urgence afin de se défendre contre toute nouvelle attaque, mais les parties prenantes de DeFi restent en état d'alerte pour toute nouvelle tentative néfaste visant à stopper des projets plus importants.
Le vecteur de gouvernance
MakerDAO est le plus grand projet DeFi actuellement en cours et sa cible est importante. La bonne nouvelle est qu'un important mécanisme de défense se profile à l'horizon et pourrait être activé rapidement. MakerDAO, une plateforme de prêt décentralisée, en est un exemple. Elle permet aux utilisateurs de tirer des prêts automatisés en utilisant le stablecoin Dai ancré au dollar et des garanties bloquées telles que l'ETH.
Le jeton de gouvernance MKR de MakerDAO est un élément clé de ce système. Les détenteurs de MKR peuvent participer aux votes de routine pour gérer les trajectoires des projets de Dai et de Maker. Et si un mauvais acteur possédait beaucoup de MKR et voulait voter avec ces jetons ?
C'est la catastrophe certaine que toutes les parties prenantes de DeFi veulent voir. Heureusement, il y a plusieurs grandes "baleines" Maker, qui sont des sociétés de capital-risque tournées vers le public et qui ont plus à perdre en aidant le dApp à réussir. En outre, il n'y a pas assez de liquidité MKR dans la cryptoéconomie pour permettre à un attaquant de trouver les fonds nécessaires à une attaque de gouvernance.
Malgré cela, les attaques de type "flash loan" contre bZx ont fait prendre conscience qu'un agent malveillant pouvait emprunter une grande somme de MKR pour attaquer rapidement Maker. Le module de sécurité de gouvernance (GSM), le mécanisme défensif mentionné ci-dessus, est là pour aider.
Le GSM, une affaire de taille
L'équipe de Maker a expliqué que le GSM était conçu pour permettre aux détenteurs de jetons MKR d'examiner toute modification apportée au système et de prendre les mesures appropriées si elles sont jugées malveillantes. Un attaquant pourrait tenter de lancer un blitz de gouvernance contre Maker, mais le GSM permettrait aux parties prenantes de bonne foi d'empêcher que des résultats de vote néfastes ne soient finalisés.
Le problème ? Le GSM a actuellement une limite de temps de 0 heure, ce qui signifie qu'un prédateur deFi pourrait théoriquement essayer de tendre une embuscade à Maker. Ce statut "0 heure" permettrait aux électeurs du MKR d'agir rapidement et de manière décisive en cas de crise immédiate. Cependant, il pourrait également être détourné rapidement si la gouvernance était compromise.
Votants MKR
Les électeurs de MKR voteront le vendredi 21 février pour approuver une proposition exécutive visant à porter le délai du GSM à 24 heures. Les défenseurs de Maker auront un jour complet pour répondre si le nouveau module est approuvé.
Les électeurs de MKR ont voté contre l'idée d'augmenter le GSM ces dernières semaines, peut-être en raison d'un manque de sensibilisation. Les nouvelles campagnes communautaires en faveur d'un GSM plus élevé signifient qu'il y aura plus de votes "oui" cette fois-ci, quoi qu'il arrive.