La finance décentralisée (DeFi) désigne un nouveau système financier, basé sur les réseaux blockchain publics et programmables, en marge du système financier traditionnel. Lors de son précédent article, l’Adan mettait en lumière la profusion de cas d’usage offerts par cet écosystème. 

Or, bien que la DeFi présente de multiples nouveaux cas d’usage, ce secteur encore émergeant est aussi porteur de nouveaux risques, principalement technologiques. Ainsi, pour mieux comprendre et appréhender cet écosystème composable, il apparaît nécessaire d’appréhender les risques non-financiers qui pèsent sur ce secteur. 

Le présent article vise à mettre en lumière – sans exhaustivité – les principaux risques non-financiers qui pèsent sur les utilisateurs de protocoles de finance décentralisée. Les risques retenus pour la rédaction de cet article sont les suivants : 

Le risque lié au smart contract

Les smart contrats sont des programmes développés sur les réseaux blockchain qui s’exécutent automatiquement dès que toutes les conditions nécessaires à son exécution sont remplies (e.g. les conditions qui ont été prédéfinies dans le code). A titre d’exemple, si le smart contract prévoit le versement d’un rendement de 2.3% à partir du 15 décembre 2021 pour l’apport de liquidités sur une plateforme d’échange décentralisée, la mise en place du versement ne pourra s’exécuter avant ou après la date définie. D’une manière générale, les smart contract offrent de nombreux avantages : sécurisés et fiables (car audités), rapides, accessibles (sur le registre public des réseaux blockchain) et immuables. 

Cependant, si les smart contrat sont par nature sécurisés, ils ne demeurent pas infaillibles. Selon un rapport publié par CipherTrace, en 2020, la moitié des hacks dans le secteur des crypto-actifs proviennent de protocoles DeFi. En 2021, le montant des pertes liées aux attaques sur des protocoles de finance décentralisée a augmenté de plus de 280% par rapport à 2020. Un tel chiffre atteste de la nécessité de prendre en compte ce risque lorsque l’on appréhende la DeFi.

En effet, nombreuses sont les fois où des hackeurs ont utilisé les failles liées au développement d’un smart contract pour soustraire et liquider des applications décentralisées. L’exemple le plus connu à ce jour reste l’affaire The DAO lorsqu’en 2017, un attaquant avait profité d’une faille au moment de la sortie des fonds en ethers sur l’application pour dérober la somme de trois millions d’ethers. Cette attaque avait notamment mené au hard fork de la blockchain Ethereum le 20 juillet 2016.

Plus récemment, le 10 août 2021, un hackeur a profité d’une faille liée au smart contrat du protocole Poly Network pour dérober la somme de 610 millions de dollars en crypto-actifs. Ces fonds ont ensuite été restitués par le hackeur aux développeurs du protocole qui l’ont finalement récompensé à hauteur de 500 000 dollars pour son comportement éthique.

Le risque d’exploitation de l’interface utilisateur

Outre, le risque lié à l’exploitation d’une faille du smart contract, les utilisateurs de protocoles de finance décentralisée s’exposent à un risque d’exploitation de l’interface utilisateur (e.g. le site web utilisé pour mettre à disposition le service DeFi aux utilisateurs). 

En effet, il est possible qu’un utilisateur installe un logiciel malveillant directement sur le site web du protocole afin de drainer les fonds des portefeuilles de crypto-actifs connectés à la plateforme de l’application décentralisée. Ce type d’attaque peut entraîner des pertes considérables pour les utilisateurs ainsi que la chute du protocole. 

A titre d’exemple, le 2 décembre, le protocole BadgerDAO a fait l’objet d’un vol de 120 millions de dollars en crypto-actifs à la suite d’une exploitation du site web par un utilisateur. Ce dernier aurait inséré un script malveillant sur le site de BadgerDAO afin d’intercepter les transactions passées par les utilisateurs et effectuer des demandes de transferts vers une autre adresse. Depuis l’exploit, les équipes de Badger travaillent avec une société de cybersécurité afin d’enquêter plus en détail sur cette attaque.

Le risque de Rug Pull

Au sein de l’industrie de la cryptographie – en particulier dans le secteur de la DeFi – le terme “Rug Pull” a été utilisé à plusieurs reprises pour décrire des situations souvent catastrophiques dans lesquelles les développeurs d’un projet – soi-disant fiable – créent un jeton et répertorient ce jeton sur des plateformes d’échanges décentralisées (DEX) avec des systèmes d’agriculture de rendement particulièrement attrayants. Puis, après qu’un montant important de liquidité ait été placé sur ce jeton, les développeurs abandonnent totalement le projet et s’enfuient avec les fonds des investisseurs.

A la suite d’un Rug Pull, les utilisateurs du protocole perdent souvent la totalité de leur fonds initiaux, s’en suit souvent une chute importante du jeton de protocole. Le préjudice lié à un Rug Pull peut donc être d’une importance considérable. 

L’affaire WhaleFarm est l’un des exemples les plus récents et intéressants en matière de de Rug Pull. La plateforme avait été créée par des utilisateurs anonymes et proposait des APY (rendement variable à taux composés) allant jusqu’à 7 217 848 %. En juin, un Rug Pull sur le protocole a mené à un vol de 2,3 millions de dollars en crypto-actifs et à une chute de 99% du jeton de protocole WhaleFarm. Les développeurs, restés jusque là anonymes, n’ont jamais été retrouvés. 

Le risque lié à l’oracle

D’une manière générale, les oracles permettent d’intégrer des informations dites off-chain (externes au réseau) au sein des protocoles DeFi. Sur les plateformes de prêts décentralisés (telles qu’Aave ou Compound), les oracles permettent de donner le cours des jetons empruntés par les utilisateurs du protocole, ce qui est déterminant pour liquider ou non les prêteurs ayant déposé leurs fonds en collatéral. 

En effet, si l’oracle affiche un prix erroné du jeton, le smart contract peut dramatiquement procéder à la liquidation des emprunteurs qui n’avaient pourtant pas pris une position risquée. Tel a été le cas récemment sur le protocole de prêt décentralisé Compound qui recourait aux services d’un oracle n’utilisant qu’une seule source de prix, celle de Coinbase Pro. Or, le prix du DAI affiché par Coinbase est monté à 1,30 dollar (au lieu d’1 dollar) s’écartant considérablement de son prix réel sur le marché. Certains prêteurs touchaient une prime équivalent à 30% et se sont retrouvés en sous-collatéralisation, provoquant ainsi leur liquidation. In fine, 89 millions de dollars ont été liquidés sur le protocole pour une erreur de prix liée à l’oracle. 

Prix du DAI affiché par Coinbase le 26 novembre 2020

Source : TradingView

Pour limiter un tel risque, certains oracles tels que Chainlink se réfèrent à plusieurs plateformes pour déterminer le prix d’un jeton. 

Le risque lié à la mauvaise gouvernance du protocole

D’une manière générale, la gouvernance d’un protocole de finance décentralisée fait référence aux mécanismes démocratiques qui permettent des changements dans le protocole. L’organe de gouvernance s’appelle la decentralised autonomous organisation (DAO ou organisation autonome décentralisée).

Afin de participer à la gouvernance d’un protocole de finance décentralisée, les utilisateurs et les investisseurs doivent acquérir – sur des plateformes d’échanges de crypto-actifs – un jeton de gouvernance qui offre des droits de gouvernance du protocole. Ainsi, les détenteurs de jetons de gouvernance utilisent ces jetons pour voter sur les évolutions du protocole et adapter la feuille de route du projet. Plus un utilisateur disposera de jetons de gouvernance, plus sa voix sera importante dans la gouvernance du protocole.

Le risque de gouvernance se caractérise par une mauvaise gestion du jeton de gouvernance par les utilisateurs du protocole. En effet, il arrive parfois qu’un groupe de personnes puisse prendre le contrôle de la gouvernance du protocole en disposant d’une grande partie de l’offre de jetons de gouvernance. Dès lors, il est possible que les détenteurs de ces jetons effectuent des vote sur des propositions (proposals) qui contreviendraient à la viabilité du projet ou aux principes qu’il porte.

Le risque réglementaire

Enfin, parmi les risques non-financiers d’ampleur qui pèsent sur la finance décentralisée, demeure le risque réglementaire. Le législateur ne s’est – à ce jour – pas encore prononcé explicitement sur le cadre réglementaire applicable aux services de finance décentralisée. Pourtant, la réglementation à venir concernant la DeFi risquerait d’avoir d’importantes conséquences sur l’évolution de l’écosystème en général. 

A titre d’exemple, à l’échelle internationale, le projet de guidance du GaFI d’octobre dernier vise à faire entrer les services de finance décentralisée dans le champ d’application de la définition de VASP (virtual asset service providers). Une telle assimilation obligerait ces acteurs de mettre en place des dispositifs de lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT) à l’égard de leurs utilisateurs. Si les standards du GAFI ne sont pas contraignants pour les Etats, la plupart d’entre eux les mettent en place (notamment car les Etats les moins regardant en matière de LCB-FT peuvent figurer sur la liste noire du GAFI qui répertorie les pays les plus à risques). 

Dépourvues d’entités centrales et développées sur une technologie de rupture, les applications de finance décentralisée nécessitent de revoir drastiquement l’approche qui est communément admise pour réguler les acteurs de la finance. 

Une réglementation inadaptée à ces nouveaux services risquerait d’être inefficace, voire de limiter considérablement l’essor des acteurs de cette industrie.

Conclusion 

Depuis plusieurs mois, la finance décentralisée connaît une croissance aussi exponentielle que les risques non-financier qui pèsent sur cet ensemble de protocoles composables. En une année, nombreuses sont les fois où des attaquants ont exploité les failles d’un protocole afin de dérober les fonds de ses utilisateurs. Dans ce contexte-ci, lorsque l’on s’intéresse à la finance décentralisée, il est nécessaire d’avoir pleinement conscience des risques de hacks, problèmes d’oracle, réglementation inadaptée, mauvaise gouvernance, etc. qui pèsent sur ce secteur.

Ces risques tendent progressivement à s’amenuiser grâce à l’activisme de la communauté qui améliore quotidiennement la résilience des protocoles. Certaines communautés décentralisées constituent des forces de proposition intéressantes pour proposer des solutions réglementaires, améliorer la gouvernance des protocoles et lutter contre les attaques malveillantes.