Le marché de l'or tokenisé Paxos (PAXG) sur le protocole DeFi Morpho Protocol a subi une faille de sécurité aujourd'hui, entraînant une perte de 230 000 $. Selon Omer Goldberg, fondateur de Chaos Labs, l'dent a été causé par une erreur lors de la configuration de l'oracle, dont le prix s'élevait à 2 600 milliards de dollars.
Dans une analyse post-mortem de l'incident dent sur X, Omer a expliqué qu'une erreur de configuration de l'oracle est probablement due au fait que le responsable du déploiement du marché PAXG/USDC ne maîtrisait pas pleinement le système décimal de la plateforme. Le protocole Morpho permet aux utilisateurs de créer des marchés de prêt décentralisés et d'en définir les paramètres.
Omer a expliqué :
« Le facteur d'échelle Oracle SCALE_FACTOR était mal configuré et ne tenait pas compte de la différence entre les décimales de l'USDC (6 décimales) et du PAXG (18 décimales). Cela a entraîné une inflation du prix sur 12 décimales, surévaluant l'or d'un facteur 10^12. »
L'escroc a remarqué l'erreur à temps et a immédiatement envoyé l'équivalent de 350 $ de PAXG sur le marché, l'utilisant pour retirer 230 000 $ en USDC.
Bien que l'dent semble avoir été causé par une erreur de la part du déployeur, Omer a observé que le protocole n'avait pas signalé le problème et que l'interface utilisateur du protocole Morpho affichait le prix correct de l'or.
Selon lui, cela est probablement dû au fait que la surveillance de la sécurité s'est concentrée sur les prix de référence plutôt que sur le prix Oracle.
Morpho Protocol affirme que la plateforme reste sûre
Par ailleurs, Omer a noté que cetdent met en lumière certains des risques liés à l'utilisation de plateformes décentralisées comme le protocole Morpho, car la précision est essentielle lors de la mise en place de tels marchés de prêts, notamment en ce qui concerne les paramètres qui guident les oracles et les risques.
Il a également plaidé pour une surveillance en temps réel, déclarant :
« La surveillance des risques en temps réel, en l’occurrence un écart entre le prix du marché Morpho et un prix de référence externe, est essentielle pour prévenir desdentcomme celui-ci. »
Cependant, Morpho Labs, a réagi en précisant que l'incident dent pas dû à une faille de sécurité sur sa plateforme, mais plutôt à des erreurs commises par le responsable de la gestion des risques.
L'équipe a déclaré :
« Nous pensons qu’il est important de faire la distinction entre les vulnérabilités sous-jacentes destracintelligents et les erreurs au niveau de la gestion des risques – tout comme les paires mal configurées sur Uniswap ne sont pas considérées comme des exploitations du protocole lui-même. »
L'dent a été qualifié de problème isolé sans incidence sur le protocole, et il a été précisé que le gestionnaire des risques avait déjà récupéré une partie des fonds et s'efforçait de rembourser les prêteurs. Le développeur a ajouté qu'il fournirait davantage d'outils pour aider les gestionnaires à limiter ce type d'erreurs à l'avenir.
Malgré ces clarifications, certains utilisateurs persistent à croire que le fournisseur d'oracles est responsable et ont demandé à Morpho Labs de s'appuyer exclusivement sur Chainlink pour tous ses flux de prix. L'équipe a toutefois précisé que son protocole est indépendant des oracles, chaque gestionnaire de risques étant libre de choisir les oracles et le flux privé de son choix.
Marius, cofondateur de Kamino Finance, a indiqué que le responsable de la gestion des risques en question n'exerçait pas cette fonction à temps plein, ce qui explique probablement l'erreur. Il a également confirmé que la majeure partie des fonds a été récupérée et que la situation est sous contrôle.
Un investisseur en cryptomonnaies affirme que l'dent n'est pas une exploitation de faille
Si les discussions autour de cet incident dent sont concentrées sur son impact, Felipe Montealegre , cofondateur de la société d'investissement en cryptomonnaies Theia Capital, estime qu'il ne s'agit pas d'un problème majeur. Selon lui, les pertes subies par les bailleurs de fonds sont inhérentes au système de crédit, même les institutions financières traditionnelles enregistrant des pertes sur leurs prêts.
Il a dit :
« Même les dettes d'entreprises notées B par Moody's affichent un taux de défaut de paiement de 17 % sur trois ans. On ne peut pas avoir une plateforme de prêt intéressante si les bailleurs de fonds ne perdent pas occasionnellement de l'argent. »
Il a toutefois admis que, même si les gestionnaires de risques peuvent prendre des risques et subir des pertes, les protocoles DeFi sous-jacents fonctionnent correctement et conformément aux spécifications. Il a souligné que c'est précisément ce qui s'est produit avec le protocole Morpho, le problème étant dû à une erreur du gestionnaire de fonds et n'ayant aucun lien avec le protocole lui-même. Il a donc précisé qu'il ne s'agissait pas d'une faille de sécurité DeFi au sens strict du terme.
