Publié le 16 février 2024 10:30. Une erreur de configuration d’un oracle a provoqué des liquidations massives sur la plateforme de prêt DeFi Moonwell, laissant 1,78 million de dollars de créances irrécouvrables et soulevant des questions sur la sécurité des oracles et l’influence potentielle de l’IA dans le développement de contrats intelligents.
- Un oracle mal configuré a évalué le cbETH à environ 1 $ au lieu de sa valeur réelle d’environ 2 200 $.
- Les liquidations ont saisi 1 096,317 cbETH, effaçant les garanties des emprunteurs.
- Moonwell fait face à 1,78 million de dollars de créances irrécouvrables et doit maintenant trouver une solution de gouvernance.
La plateforme de prêt décentralisée (DeFi) Moonwell a été victime d’un incident majeur ce dimanche, causé par une erreur dans un oracle de prix. Cet oracle, chargé de fournir des données de marché fiables, a brièvement évalué le Coinbase Wrapped ETH (cbETH) à seulement 1 $, alors que sa valeur réelle se situe autour de 2 200 $. Cette anomalie a déclenché une cascade de liquidations, pénalisant sévèrement les utilisateurs de la plateforme.
L’erreur de prix, représentant une décote de 99,9 % par rapport à la valeur marchande, a permis aux robots de trading de cibler les positions garanties en cbETH. Le système, considérant le cbETH comme valant un peu plus d’un dollar, a autorisé les liquidateurs à racheter environ 1 $ de dette pour saisir un total de 1 096,317 cbETH. Selon Anthias Labs, la société de gestion des risques de Moonwell, cette situation a « effacé la plupart ou la totalité des garanties cbETH pour de nombreux emprunteurs, tout en laissant des créances douteuses importantes sur leurs positions puisque le montant remboursé était bien inférieur à la valeur réelle empruntée ».
Face à cette crise, l’équipe de Moonwell a réagi rapidement. « Une fois identifié, notre gestionnaire de risques @anthiasxyz a agi rapidement pour réduire le plafond d’emprunt du cbETH à 0,01 afin de contenir davantage de risques pour le protocole », a déclaré Moonwell sur X (anciennement Twitter) lundi. Le plafond d’approvisionnement a également été abaissé à 0,01 pour empêcher de nouveaux utilisateurs d’ajouter involontairement des fonds au marché concerné.
Selon un rapport publié sur le forum Moonwell, l’erreur est survenue le 15 février à 18h01 UTC, lors de l’exécution de la proposition de gouvernance MIP-X43. Cette proposition autorisait l’utilisation de contrats d’emballage OEV (Oracle External Value) de Chainlink sur les réseaux Base et Optimism. Un de ces oracles a été mal configuré, ne parvenant pas à évaluer correctement la valeur du cbETH en dollars américains.
L’équipe de Moonwell a expliqué que le système utilisait incorrectement le taux de change brut cbETH/ETH au lieu de multiplier le flux cbETH/ETH par le prix ETH/USD. En conséquence, l’oracle a affiché une valeur d’environ 1,12 $ pour le cbETH.
L’incident a également révélé des exploitations opportunistes. « Un plus petit nombre d’utilisateurs ont exploité les prix faussés pour fournir une garantie minimale, suremprunter massivement du cbETH au prix artificiellement bas annoncé et générer instantanément des créances irrécouvrables supplémentaires libellées en cbETH », a précisé Anthias Labs.
L’affaire a suscité des interrogations sur le rôle de l’intelligence artificielle dans le développement de contrats intelligents. Certains utilisateurs de X ont fait circuler des captures d’écran suggérant que le MIP-X43 avait été co-écrit par Claude Opus 4.6, qualifiant cela d’erreur de « codage d’ambiance ».
Contacté par Decrypt, un porte-parole de Moonwell s’est refusé à tout commentaire sur l’incident et ses conséquences.
Au total, Moonwell se retrouve avec 1 779 044 $ de créances irrécouvrables sur divers marchés. Un vote de gouvernance est prévu pour déterminer la configuration future des oracles, une fois la période de verrouillage requise écoulée.
Moonwell n’est pas le seul projet DeFi à avoir été victime d’une manipulation d’oracle. En décembre dernier, Ribbon Finance a perdu environ 2,7 millions de dollars suite à une erreur décimale lors d’une mise à niveau d’oracle, faussant le prix des actifs et permettant une sur-garantie. En janvier, la plateforme DeFi Makina Finance a subi une attaque similaire via une manipulation d’oracle basée sur un prêt flash, entraînant une perte d’environ 4 millions de dollars en ETH.