Stream Finance, un projet DeFi axé sur l’optimisation du rendement qui a émis un jeton synthétique en dollar appelé xUSD, a déclaré aux utilisateurs le 4 novembre qu’un « gestionnaire de fonds externe » avait perdu environ 93 millions de dollars d’actifs liés au projet.
Tableau des prix Staked Stream USD (xUSD) sur 7 jours. SourceL CoinGecko
En une journée, xUSD a perdu plus de 85 % de sa valeur, passant de 1,26 $ à 0,16 $ au moment de la publication. Les retraits de la plate-forme ont été gelés et un réseau dense de coffres-forts de rendement interconnectés a commencé à se dérouler, soulevant des questions sur la part de la croissance apparente de DeFi qui reposait sur ce que l’on appelle des boucles de prêt circulaires.
La divulgation est également intervenue peu de temps après la publication de rapports selon lesquels le protocole DeFi Balancer établi avait été exploité pour plus de 100 millions de dollars, ébranlant encore davantage la confiance dans le secteur.
À mesure que la poussière retombe, des rapports continuent de faire surface indiquant l’ampleur des retombées sur DeFi.
Qu’est-ce que le Stream Finance ?
Stream Finance se décrit comme un « fonds tokenisé neutre au marché ». Le slogan principal du projet, « La SuperApp DeFi mérite », reste bien en vue sur son site Web au moment de la publication, aux côtés d’une promesse de simplifier les gains de rendement en chaîne.
Mais le fonctionnement de Stream était en grande partie une boîte noire. Les utilisateurs déposeraient les actifs pris en charge – USDC, ETH, BTC ou EURC – dans des coffres promettant des APY à deux chiffres. L’équipe Stream Finance réaffecterait ensuite ces fonds vers d’autres protocoles dans diverses stratégies opaques et non entièrement divulguées afin d’offrir des rendements élevés aux déposants. Selon la plateforme de Stream, ces stratégies comprenaient « des arbitrages de prêts, à l’agriculture incitative, au HFT couvert de manière dynamique et à la tenue de marché ».
En échange des actifs déposés, Stream Finance a émis des jetons porteurs de rendement correspondants, tels que xUSD pour les dépôts USDC, qui totalisent plus de 382 millions de dollars sur la plateforme au moment de la publication, avec un APY à 18 %, selon la plateforme officielle de Stream.
Stream Finance prend en charge les actifs à déposer. Source : Stream Finance
À titre de comparaison, au moment de la rédaction de cet article, le plus grand protocole de prêt de DeFi, Aave, offre actuellement 4,8 % APY sur les dépôts USDC, tandis que Compound offre un peu plus de 3 %.
Bien que la proposition de valeur de Stream Finance – un rendement beaucoup plus élevé sur les dépôts stables – soit claire, le volet « optimisation du rendement » de DeFi est également explicitement à haut risque. Comme l’a noté la plateforme elle-même, les risques incluent « l’échec de l’exécution, le risque de contrat intelligent, le risque de garde ».
Pour fournir un rendement plus élevé que d’habitude, des acteurs comme Stream construisent des positions en chaîne qui incluent des marchés de prêts en boucle automatique, des conservateurs de risques et des stratégies automatisées, le tout sans divulgation aux utilisateurs qui prêtent ou déposent leurs actifs, ce qui rend la compréhension de l’ensemble du risque complexe, voire impossible.
Comment les choses ont commencé : la frappe récursive
Même avant que Stream ne révèle ses pertes et que xUSD ne s’effondre, certains membres de la communauté crypto avaient déjà remarqué que quelque chose n’allait pas. Après le plus grand événement de liquidation de crypto-monnaie jamais enregistré le 10 octobre, qui a effacé environ 20 milliards de dollars du marché, Stream Finance et quelques autres agissaient de manière suspecte comme si de rien n’était.
Cela a fait sourciller les analystes de la chaîne qui ont commencé à signaler de plus en plus une tendance selon laquelle Stream Finance prêtait et empruntait ses propres actifs, recyclait les jetons empruntés dans des coffres partenaires et frappait de nouveaux jetons de rendement par-dessus, créant ainsi une liquidité circulaire et gonflant la valeur totale verrouillée.
Et pendant un certain temps, cette tactique a fonctionné, car la liquidité en boucle a poussé la valeur totale verrouillée (TVL) autodéclarée de Stream Finance au-dessus de 200 millions de dollars. Cependant, beaucoup remettent désormais en question cette tactique, affirmant que les sites de suivi comptent probablement deux fois les jetons pontés, gonflant artificiellement la TVL.
Flux Finance TVL. Source : DéfiLlama
Alors que des signes avant-coureurs apparaissaient, DefiLlama a mis à jour ses statistiques, effaçant des millions de dollars de la page TVL de Stream Finance. Après l’annonce de l’effondrement de Stream, le fondateur pseudonyme de DefiLlama, 0xngmi, a posté sur X qu’ils pourraient commencer à demander aux protocoles avec des fonds sur des échanges centralisés de partager des données, car « actuellement, tous les protocoles avec des fonds sur les CEX sont une boîte noire en termes de vérification. »
Le responsable de l’agrégateur de rendement DeFi Yearn, connu sur X sous le nom de Schlag, a publié hier soir que « rien de ce qui s’est passé n’est sorti de nulle part », ajoutant que « comme pour toute bonne bulle/explosion, elle s’est lentement préparée et n’était qu’une question de temps jusqu’à ce qu’elle éclate ». Schlag a également ajouté que Stream Finance est « loin d’être le seul à avoir des corps à cacher ».
Le 28 octobre, quelques jours seulement avant que Stream ne signale un trou de 93 millions de dollars, Schlag avait tiré la sonnette d’alarme sur X dans un article détaillé, rapportant que Stream Finance et Elixir, un protocole DeFi axé sur l’approvisionnement en liquidités, utilisaient des marchés cachés sur le protocole de prêt Morpho.
Selon le rapport de Schlag, Elixir fournissait de l’USDC via le coffre-fort privé de Morpho, dans lequel Stream Finance était le seul emprunteur, utilisant son propre xUSD comme garantie. « Il est difficile de savoir avec certitude combien de garanties réelles soutiennent ce système complet, mais il semble probable qu’il soit inférieur à 0,10 $ pour 1 $ », avait conclu Schlag à l’époque.
Schlag a également expliqué comment Stream et Elixir ont exécuté ce qu’on appelle un mécanisme de boucle, « en frappant récursivement les jetons de chacun afin de gonfler leur propre TVL et de créer un ponzu comme nous n’en avons pas vu depuis un certain temps dans la cryptographie ». Comme l’a expliqué le responsable de Yearn, le portefeuille xUSD de Stream Finance a reçu des millions en USDC, a transféré les fonds via plusieurs adresses, les a échangés contre des USDT, a frappé le propre jeton synthétique en dollars d’Elixir, deUSD, puis a utilisé les actifs empruntés pour frapper davantage de xUSD.
« […] en utilisant le même USDC de 1,9 million de dollars, ils ont frappé environ 14,5 millions x USD […]», a écrit Schlag.
Le 3 novembre, Elixir a répondu aux inquiétudes concernant le xUSD qui circulaient de plus en plus sur les réseaux sociaux, affirmant qu’il disposait de « droits de rachat complets à 1 $ avec Stream » et prétendait être « le seul créancier avec ces droits 1-1 ».
Les retombées
Le point de rupture est survenu le même jour, le 3 novembre, lorsque Balancer V2, l’un des plus grands teneurs de marché automatisés, a été piraté pour 128 millions de dollars. L’exploit a semé la confusion quant à une contagion potentielle, et les fournisseurs de liquidités se sont précipités pour quitter tous les pools qui semblaient connectés, déclenchant une ruée bancaire classique sur Stream Finance, alors que les utilisateurs se précipitaient pour retirer leurs fonds.
Le 4 novembre, Stream a dévoilé la perte de 93 millions de dollars, mais a fourni peu de détails, si ce n’est qu’il avait engagé le cabinet d’avocats américain Perkins Coie LLP pour enquêter sur l’incident. Le projet a ensuite informé les utilisateurs qu’il avait suspendu les retraits et les dépôts.
À ce moment-là, la valeur de xUSD était déjà tombée bien en dessous de 1 $ et le réseau d’intégrations de coffre-fort a commencé à s’effondrer. Lorsque l’effondrement a finalement eu lieu, la portée de ces boucles cachées est devenue au moins quelque peu visible.
Plusieurs protocoles DeFi majeurs, notamment Morpho, Euler, Silo et Gearbox, ont accepté le xUSD de Stream Finance comme garantie, bien qu’ils soient manifestement conscients de la structure de frappe récursive de l’actif. Cette configuration interconnectée a permis aux positions adossées à xUSD de se répartir sur plusieurs marchés de prêt, amplifiant le risque dans l’ensemble de l’écosystème.
Au fur et à mesure que le stratagème se déroulait, des rapports ont fait surface selon lesquels des conservateurs de risques et des gestionnaires de coffre-fort tels que Beefy, Silo et Valarmore avaient réaffecté les fonds des utilisateurs vers xUSD sans divulgation transparente, laissant les déposants sans le savoir exposés au jeton de Stream.
« Trop d’entités, pas de surveillance », a écrit JohnnyTime, fondateur de la société de sécurité web3 Ginger Security, dans un fil de discussion X le 4 novembre.
S’adressant à The Defiant, Driss Benamour, co-fondateur et PDG de YO Labs, la société derrière l’optimiseur de rendement multi-chaînes YO, a qualifié la stratégie derrière xUSD de « pratique dégénérative dans DeFi », précisant que « les coffres-forts YO n’avaient aucune exposition à xUSD et aucune exposition significative à yUSD ».
Silo Labs, la société à l’origine du protocole Silo, a déclaré dans un communiqué de presse partagé avec The Defiant le 5 novembre que Silo DAO se prépare également à intenter une action en justice, mais contre l’équipe Stream, car l’incident « a laissé les prêteurs incapables d’accéder aux fonds ou de racheter xUSD et xBTC ».
Dans le communiqué, Silo Labs a déclaré que Silo DAO travaillerait en étroite collaboration avec son conseiller juridique pour préparer et coordonner le dossier afin d’obtenir « un remboursement maximal possible, distribué au prorata à tous les prêteurs concernés ».
Réponse de Stream
Avant que Stream Finance ne révèle les pertes importantes, le fondateur de la plateforme, connu sous le pseudonyme 0xlaw, a tenté de rassurer les utilisateurs, affirmant dans un article désormais supprimé du 29 octobre sur X que Stream maintient un « fonds d’assurance de plus de 10 millions de dollars » et que toutes les positions en dehors du portefeuille principal sont « entièrement liquides immédiatement ». Le fondateur a également promis un rapport de transparence sur les stratégies de Stream.
Bien que 0xlaw ait initialement accepté une interview avec The Defiant le 28 octobre, ils n’ont pas répondu aux questions de suivi sur le rapport de transparence ou sur les détails du fonds d’assurance annoncé.
Après l’effondrement, le fondateur de Stream Finance a écrit dans un article X qui a depuis été rendu privé qu’ils n’étaient « pas le gestionnaire de fonds externe » responsable de la perte de plusieurs millions, affirmant que « zéro stratégie que j’exécutais n’avait subi aucun retrait.
Mais avec environ 285 millions de dollars de dettes entremêlées entre les conservateurs de risques, les coffres-forts ainsi que les marchés de prêts, et les multiples jetons de rendement s’effondrant de 30 à 99 % au 5 novembre, les retombées ont révélé à quel point l’économie à rendement élevé de DeFi était devenue fragile et à quel point ses soi-disant conservateurs de risques ont échoué.
Journal Du Token
Stream Finance, un projet DeFi axé sur l’optimisation du rendement qui a émis un jeton synthétique en dollar appelé xUSD, a déclaré aux utilisateurs le 4 novembre qu’un « gestionnaire de fonds externe » avait perdu environ 93 millions de dollars d’actifs liés au projet.
Tableau des prix Staked Stream USD (xUSD) sur 7 jours. SourceL CoinGecko
En une journée, xUSD a perdu plus de 85 % de sa valeur, passant de 1,26 $ à 0,16 $ au moment de la publication. Les retraits de la plate-forme ont été gelés et un réseau dense de coffres-forts de rendement interconnectés a commencé à se dérouler, soulevant des questions sur la part de la croissance apparente de DeFi qui reposait sur ce que l’on appelle des boucles de prêt circulaires.
La divulgation est également intervenue peu de temps après la publication de rapports selon lesquels le protocole DeFi Balancer établi avait été exploité pour plus de 100 millions de dollars, ébranlant encore davantage la confiance dans le secteur.
À mesure que la poussière retombe, des rapports continuent de faire surface indiquant l’ampleur des retombées sur DeFi.
Qu’est-ce que le Stream Finance ?
Stream Finance se décrit comme un « fonds tokenisé neutre au marché ». Le slogan principal du projet, « La SuperApp DeFi mérite », reste bien en vue sur son site Web au moment de la publication, aux côtés d’une promesse de simplifier les gains de rendement en chaîne.
Mais le fonctionnement de Stream était en grande partie une boîte noire. Les utilisateurs déposeraient les actifs pris en charge – USDC, ETH, BTC ou EURC – dans des coffres promettant des APY à deux chiffres. L’équipe Stream Finance réaffecterait ensuite ces fonds vers d’autres protocoles dans diverses stratégies opaques et non entièrement divulguées afin d’offrir des rendements élevés aux déposants. Selon la plateforme de Stream, ces stratégies comprenaient « des arbitrages de prêts, à l’agriculture incitative, au HFT couvert de manière dynamique et à la tenue de marché ».
En échange des actifs déposés, Stream Finance a émis des jetons porteurs de rendement correspondants, tels que xUSD pour les dépôts USDC, qui totalisent plus de 382 millions de dollars sur la plateforme au moment de la publication, avec un APY à 18 %, selon la plateforme officielle de Stream.
Stream Finance prend en charge les actifs à déposer. Source : Stream Finance
À titre de comparaison, au moment de la rédaction de cet article, le plus grand protocole de prêt de DeFi, Aave, offre actuellement 4,8 % APY sur les dépôts USDC, tandis que Compound offre un peu plus de 3 %.
Bien que la proposition de valeur de Stream Finance – un rendement beaucoup plus élevé sur les dépôts stables – soit claire, le volet « optimisation du rendement » de DeFi est également explicitement à haut risque. Comme l’a noté la plateforme elle-même, les risques incluent « l’échec de l’exécution, le risque de contrat intelligent, le risque de garde ».
Pour fournir un rendement plus élevé que d’habitude, des acteurs comme Stream construisent des positions en chaîne qui incluent des marchés de prêts en boucle automatique, des conservateurs de risques et des stratégies automatisées, le tout sans divulgation aux utilisateurs qui prêtent ou déposent leurs actifs, ce qui rend la compréhension de l’ensemble du risque complexe, voire impossible.
Comment les choses ont commencé : la frappe récursive
Même avant que Stream ne révèle ses pertes et que xUSD ne s’effondre, certains membres de la communauté crypto avaient déjà remarqué que quelque chose n’allait pas. Après le plus grand événement de liquidation de crypto-monnaie jamais enregistré le 10 octobre, qui a effacé environ 20 milliards de dollars du marché, Stream Finance et quelques autres agissaient de manière suspecte comme si de rien n’était.
Cela a fait sourciller les analystes de la chaîne qui ont commencé à signaler de plus en plus une tendance selon laquelle Stream Finance prêtait et empruntait ses propres actifs, recyclait les jetons empruntés dans des coffres partenaires et frappait de nouveaux jetons de rendement par-dessus, créant ainsi une liquidité circulaire et gonflant la valeur totale verrouillée.
Et pendant un certain temps, cette tactique a fonctionné, car la liquidité en boucle a poussé la valeur totale verrouillée (TVL) autodéclarée de Stream Finance au-dessus de 200 millions de dollars. Cependant, beaucoup remettent désormais en question cette tactique, affirmant que les sites de suivi comptent probablement deux fois les jetons pontés, gonflant artificiellement la TVL.
Flux Finance TVL. Source : DéfiLlama
Alors que des signes avant-coureurs apparaissaient, DefiLlama a mis à jour ses statistiques, effaçant des millions de dollars de la page TVL de Stream Finance. Après l’annonce de l’effondrement de Stream, le fondateur pseudonyme de DefiLlama, 0xngmi, a posté sur X qu’ils pourraient commencer à demander aux protocoles avec des fonds sur des échanges centralisés de partager des données, car « actuellement, tous les protocoles avec des fonds sur les CEX sont une boîte noire en termes de vérification. »
Le responsable de l’agrégateur de rendement DeFi Yearn, connu sur X sous le nom de Schlag, a publié hier soir que « rien de ce qui s’est passé n’est sorti de nulle part », ajoutant que « comme pour toute bonne bulle/explosion, elle s’est lentement préparée et n’était qu’une question de temps jusqu’à ce qu’elle éclate ». Schlag a également ajouté que Stream Finance est « loin d’être le seul à avoir des corps à cacher ».
Le 28 octobre, quelques jours seulement avant que Stream ne signale un trou de 93 millions de dollars, Schlag avait tiré la sonnette d’alarme sur X dans un article détaillé, rapportant que Stream Finance et Elixir, un protocole DeFi axé sur l’approvisionnement en liquidités, utilisaient des marchés cachés sur le protocole de prêt Morpho.
Selon le rapport de Schlag, Elixir fournissait de l’USDC via le coffre-fort privé de Morpho, dans lequel Stream Finance était le seul emprunteur, utilisant son propre xUSD comme garantie. « Il est difficile de savoir avec certitude combien de garanties réelles soutiennent ce système complet, mais il semble probable qu’il soit inférieur à 0,10 $ pour 1 $ », avait conclu Schlag à l’époque.
Schlag a également expliqué comment Stream et Elixir ont exécuté ce qu’on appelle un mécanisme de boucle, « en frappant récursivement les jetons de chacun afin de gonfler leur propre TVL et de créer un ponzu comme nous n’en avons pas vu depuis un certain temps dans la cryptographie ». Comme l’a expliqué le responsable de Yearn, le portefeuille xUSD de Stream Finance a reçu des millions en USDC, a transféré les fonds via plusieurs adresses, les a échangés contre des USDT, a frappé le propre jeton synthétique en dollars d’Elixir, deUSD, puis a utilisé les actifs empruntés pour frapper davantage de xUSD.
« […] en utilisant le même USDC de 1,9 million de dollars, ils ont frappé environ 14,5 millions x USD […]», a écrit Schlag.
Le 3 novembre, Elixir a répondu aux inquiétudes concernant le xUSD qui circulaient de plus en plus sur les réseaux sociaux, affirmant qu’il disposait de « droits de rachat complets à 1 $ avec Stream » et prétendait être « le seul créancier avec ces droits 1-1 ».
Les retombées
Le point de rupture est survenu le même jour, le 3 novembre, lorsque Balancer V2, l’un des plus grands teneurs de marché automatisés, a été piraté pour 128 millions de dollars. L’exploit a semé la confusion quant à une contagion potentielle, et les fournisseurs de liquidités se sont précipités pour quitter tous les pools qui semblaient connectés, déclenchant une ruée bancaire classique sur Stream Finance, alors que les utilisateurs se précipitaient pour retirer leurs fonds.
Le 4 novembre, Stream a dévoilé la perte de 93 millions de dollars, mais a fourni peu de détails, si ce n’est qu’il avait engagé le cabinet d’avocats américain Perkins Coie LLP pour enquêter sur l’incident. Le projet a ensuite informé les utilisateurs qu’il avait suspendu les retraits et les dépôts.
À ce moment-là, la valeur de xUSD était déjà tombée bien en dessous de 1 $ et le réseau d’intégrations de coffre-fort a commencé à s’effondrer. Lorsque l’effondrement a finalement eu lieu, la portée de ces boucles cachées est devenue au moins quelque peu visible.
Plusieurs protocoles DeFi majeurs, notamment Morpho, Euler, Silo et Gearbox, ont accepté le xUSD de Stream Finance comme garantie, bien qu’ils soient manifestement conscients de la structure de frappe récursive de l’actif. Cette configuration interconnectée a permis aux positions adossées à xUSD de se répartir sur plusieurs marchés de prêt, amplifiant le risque dans l’ensemble de l’écosystème.
Au fur et à mesure que le stratagème se déroulait, des rapports ont fait surface selon lesquels des conservateurs de risques et des gestionnaires de coffre-fort tels que Beefy, Silo et Valarmore avaient réaffecté les fonds des utilisateurs vers xUSD sans divulgation transparente, laissant les déposants sans le savoir exposés au jeton de Stream.
« Trop d’entités, pas de surveillance », a écrit JohnnyTime, fondateur de la société de sécurité web3 Ginger Security, dans un fil de discussion X le 4 novembre.
S’adressant à The Defiant, Driss Benamour, co-fondateur et PDG de YO Labs, la société derrière l’optimiseur de rendement multi-chaînes YO, a qualifié la stratégie derrière xUSD de « pratique dégénérative dans DeFi », précisant que « les coffres-forts YO n’avaient aucune exposition à xUSD et aucune exposition significative à yUSD ».
Silo Labs, la société à l’origine du protocole Silo, a déclaré dans un communiqué de presse partagé avec The Defiant le 5 novembre que Silo DAO se prépare également à intenter une action en justice, mais contre l’équipe Stream, car l’incident « a laissé les prêteurs incapables d’accéder aux fonds ou de racheter xUSD et xBTC ».
Dans le communiqué, Silo Labs a déclaré que Silo DAO travaillerait en étroite collaboration avec son conseiller juridique pour préparer et coordonner le dossier afin d’obtenir « un remboursement maximal possible, distribué au prorata à tous les prêteurs concernés ».
Réponse de Stream
Avant que Stream Finance ne révèle les pertes importantes, le fondateur de la plateforme, connu sous le pseudonyme 0xlaw, a tenté de rassurer les utilisateurs, affirmant dans un article désormais supprimé du 29 octobre sur X que Stream maintient un « fonds d’assurance de plus de 10 millions de dollars » et que toutes les positions en dehors du portefeuille principal sont « entièrement liquides immédiatement ». Le fondateur a également promis un rapport de transparence sur les stratégies de Stream.
Bien que 0xlaw ait initialement accepté une interview avec The Defiant le 28 octobre, ils n’ont pas répondu aux questions de suivi sur le rapport de transparence ou sur les détails du fonds d’assurance annoncé.
Après l’effondrement, le fondateur de Stream Finance a écrit dans un article X qui a depuis été rendu privé qu’ils n’étaient « pas le gestionnaire de fonds externe » responsable de la perte de plusieurs millions, affirmant que « zéro stratégie que j’exécutais n’avait subi aucun retrait.
Mais avec environ 285 millions de dollars de dettes entremêlées entre les conservateurs de risques, les coffres-forts ainsi que les marchés de prêts, et les multiples jetons de rendement s’effondrant de 30 à 99 % au 5 novembre, les retombées ont révélé à quel point l’économie à rendement élevé de DeFi était devenue fragile et à quel point ses soi-disant conservateurs de risques ont échoué.