Yearn, un pilier de DeFi proposant des coffres-forts de rendement définis et oubliés, a annoncé un incident impliquant son coffre-fort yUSND sur le réseau Arbitrum.
La divulgation provient de Johnnyonline, contributeur pseudonyme de Yearn, qui explique que « la liquidité insuffisante de l’USND » a conduit à un « grave dérapage » dans l’échange des récompenses de liquidation, l’une des sources de rendement de la stratégie.
L’incident s’est limité à la stratégie de pool de stabilité rETH du coffre-fort, à laquelle 28 % de ses actifs sont alloués.
Les pertes ont été relativement faibles, en particulier selon les normes de DeFi, à un peu plus de 25 000 dollars USND. Cela représente un « retrait de 5,2 % pour les déposants yUSND ».
Le message rassure les utilisateurs sur le fait que Yearn a entièrement couvert les pertes pour protéger le capital de l’utilisateur et que « seul le potentiel de rendement réalisé du coffre-fort a été affecté ».
Bien que l’équipe ait divulgué l’incident le 26 novembre, celui-ci s’est produit le 28 septembre et les pertes ont été couvertes le 11 octobre.
À l’avenir, des stratégies similaires céderont les garanties en « tranches plus petites » afin de réduire le risque de pertes liées au dérapage. Un « mécanisme de garde des prix » supplémentaire est également en place pour agir comme coupe-circuit.
Le paysage des risques DeFi
Lancé en 2020 sous le nom d’iearn Finance, le « DeFi’s Yield Aggregator » a atteint un sommet de 6,9 milliards de dollars de valeur totale verrouillée (TVL) fin 2021. Il détient actuellement 343 millions de dollars, selon les données de DeFiLlama.
DeFi est souvent considéré comme un coin du Far West du secteur plus vaste de la cryptographie, déjà risqué. Mais de nombreux utilisateurs considèrent certains protocoles de longue date et éprouvés comme des « de premier ordre », ou comme des paires de mains sûres : Aave pour les prêts, Lido pour le staking liquide, Yearn pour le rendement.
Cette distinction est devenue claire lors du récent effondrement spectaculaire des coffres-forts à rendement dégénéré tels que Stream Finance.
Schlagonia, contributeur pseudonyme de Yearn, faisait partie de ceux qui ont sonné l’alarme concernant le xUSD de Stream et le deUSD d’Elixir « frappant de manière récursive » les actifs de chacun.
Ils ont qualifié le système de « chaîne en série » dans laquelle « l’auto-monnaie récursive et le prêt de carburant[ed] essentiellement toute la « croissance ».
Cela ne veut pas dire, cependant, que Yearn n’a pas eu son lot de problèmes ; l’annonce d’aujourd’hui marque le quatrième incident du projet depuis son lancement.
Les brûlures de l’année
En février 2021, une attaque de prêt flash a causé 11 millions de dollars de pertes au coffre-fort DAI v1 de Yearn, le pirate informatique n’ayant profité que de 2,8 millions de dollars.
Deux ans plus tard, en avril 2023, l’exploitation d’une vulnérabilité vieille de trois ans a entraîné une perte supplémentaire de 11,4 millions de dollars, en raison d’une erreur de copier-coller dans la liste des actifs sous-jacents de yUSDT.
Plus tard la même année, en décembre, un « script multisig défectueux » a entraîné une perte de 1,4 million de dollars pour la trésorerie du projet.
Également attribué à un « dérapage important », l’échange contenait accidentellement la totalité du solde de jetons yCRV du projet, plutôt que uniquement les frais gagnés.
