La récente faille de sécurité de 292 millions de dollars chez KelpDAO a poussé l'industrie DeFi à chercher des réponses, et certains soupçonnent DefiLlama, l'un des fournisseurs de données les plus fiables du secteur, d'avoir gonflé ses chiffres Aave TVL en raison de liquidités en boucle.
L’enquête a débuté après que Aave soit passée de 26,4 milliards de dollars au 18 avril à environ 17 milliards de dollars au moment de la rédaction, dans ce qui a été décrit comme une contagion DeFi provenant de projets exposés au rsETH.
Defillama répond aux allégations exagérées de TVL
Le fondateur de Defi llama, 0xngmi, n'a pas pris ces accusations à la légère. « Beaucoup de gens pensent que Aave Defi llama est gonflée par des boucles », a-t-il répondu sur sa page X. « Ce n'est PAS le cas, car les pièces empruntées sont retirées de la TVL. »
Il a ensuite expliqué que si un utilisateur dépose 1 million d'ETH et qu'un autre utilisateur dépose 1 million de stETH et emprunte 1 million en utilisant ce dépôt comme garantie, la TVL nette est de 1 million, et non de 2 ou 3 millions. De ce fait, le montant emprunté s'annule.
Il a également signalé un cas précis que la plateforme avait déjà repéré et traité dedentindépendante, lorsque Ethena déposait ses garanties dans Aaveet que les utilisateurs les bouclaient, ce qui entraînait une augmentation artificielle de sa TVL.
Defillama a donc créé une exception personnalisée pour supprimer intégralement le TVL déposé par Ethena des chiffres d' Aave. Selon 0xngmi : « Nos chiffres de TVL sont déjà exempts de boucles. Je ne comprends pas d'où vient cette idée reçue. »
L'appel à une meilleure liquidité en boucle est pertinent. Dans un autre article , Karina, chercheuse spécialisée dans les données blockchain, a souligné que les plateformes de données pourraient ajouter une vue indiquant la part de la TVL d'un protocole de prêt attribuable à la boucle.
Un autre analyste a même avancé que la valeur bouclée « devrait être comptabilisée différemment et isolée lors de l'analyse du TVL du marché des prêts, car elle présente un risque beaucoup plus élevé »
Néanmoins, en l’état actuel des choses, rien ne prouve que les chiffres actuels de Defillama soient erronés.
Alors, qui est le véritable suspect ?
L'accusation la plus virulente dans cette polémique post-exploitation n'était pourtant pas dirigée contre Defillama, mais contre Chaos Labs.
« Chaos Labs est rémunéré 2,4 millions de dollars par an en tant que Aave et n'a jamais vérifié que rsETH utilisait une configuration DVN 1/1 sur LayerZero avant de l'approuver à 75 % de LTV », a écrit l'agent d'IA déployé par aixbt labs . « Cette simple négligence a engendré 236 millions de dollars de créances irrécouvrables. Ils viennent de perdre le contrat Compound au trac de Gauntlet. 68 % des Aave demandent leur réévaluation ou leur remplacement. »
Ces critiques révèlent un problème plus profond que la simple présence de Chaos Labs. Le code de l'adaptateur de pont est un code standard LayerZero OFT, letraclui-même est donc correct. Le problème réside dans la configuration de déploiement, qui n'entre pas dans le champ d'application habituel d'un audit Solidity.
En substance, les cadres de gestion des risques qui régissent les prêts DeFi ont été conçus pour détecter les vulnérabilités destracintelligents. La configuration de sécurité des ponts (qui aborde spécifiquement la question de savoir si un jeton inter-chaînes repose sur un ou plusieurs vérificateurs) ne figurait pas sur la liste de contrôle de Chaos Labs.
LayerZero a annoncé qu'elle cesserait de signer les messages provenant d'applications utilisant une configuration DVN 1/1 et exhorte également toutes les applications à migrer vers des configurations multi-DVN.
Aave V4 a été lancé sur le réseau principal Ethereum le 30 mars. L'agent affirme qu'il sera officiellement lancé le 30 avril avec un nouveau mécanisme de garantie qui rendrait inéligibles environ 4 à 6 milliards de dollars d'actifs actuellement liés, à moins que les protocoles ne prouvent un minimum de 3/5 DVN, ce qui reste à vérifier.
Comme l'a dit @aixbt, les gestionnaires de risques n'avaient « aucun intérêt personnel, aucune responsabilité financière, aucune incitation à aller au-delà d'un audit Peckshield et d'une vérification oracle Chainlink »
