Je viens d’apprendre quelque chose d’incroyable qui s’est produit sur Aave le 11 mars. Un événement de liquidation d’une valeur d’environ $27 million s’est produit, mais voici le truc : il n’y a pas eu de crash du marché, pas de piratage, rien. Juste une mécanique de protocole qui a mal tourné.

La partie étrange ? Ce n’était pas une attaque externe ou une manipulation d’oracle. Chaos Labs, le partenaire en gestion des risques d’Aave, a enquêté et a découvert que le coupable était en réalité une fonctionnalité de sécurité qui s’est retournée contre elle. Ils l’appellent CAPO — Capped Asset Price Oracle. Ça sonne comme un gardien, non ? Sauf que cette fois, le gardien est devenu la faucheuse.

Voici ce qui s’est passé. Aave a construit CAPO spécifiquement pour empêcher la manipulation des prix sur des tokens à rendement comme wstETH. Le système utilise deux paramètres pour calculer un prix maximum autorisé : un taux de change instantané ( plafonné à une augmentation de 3 % tous les 3 jours ) et un horodatage instantané. Ça semblait solide. Mais ils se sont mal alignés.

Le taux de change essayait de passer de 1.1572 à 1.2282, mais le plafond du taux ne lui permettait d’aller que jusqu’à 1.1919. Pendant ce temps, l’horodatage a simplement avancé pour correspondre à un ancien point d’ancrage, sans restrictions. Résultat : CAPO a calculé le prix maximum autorisé du wstETH à environ 1.1939 — soit environ 2,85 % en dessous du prix réel du marché.

Dans des conditions normales, 2,85 % ce n’est que du bruit. Mais le mode E d’Aave permet aux utilisateurs d’emprunter avec des ratios de levier incroyables, donc les positions sont ultra sensibles aux variations de prix. La sous-évaluation du protocole a déclenché une cascade. En quelques heures, environ 34 comptes détenant environ 10,938 wstETH ont été liquidés. Les bots de liquidation ont empoché 116 ETH en récompenses, les arbitragistes ont récupéré encore 382 ETH grâce à l’écart de prix, et les utilisateurs concernés ont perdu environ 499 ETH au total — soit environ 1,27 million de dollars.

Voici la bonne nouvelle : aucune dette irrécouvrable, le protocole est resté propre, et seules les positions des utilisateurs ont subi le coup. Le PDG de Chaos Labs, Omer Goldberg, s’est engagé immédiatement à une compensation totale. Ils ont déjà récupéré 141,5 ETH et prévoient de couvrir tous les comptes affectés avec environ 345 ETH ( $870K ) provenant du trésor DAO, plus leur propre récupération.

La réponse technique a aussi été rapide. Ils ont temporairement plafonné l’emprunt de wstETH, ont réaligné manuellement les paramètres d’instantané via le mécanisme Risk Steward, puis ont rétabli les limites à la normale ( Core : 180,000, Prime : 70,000 ).

Mais voilà ce qui m’a fait réfléchir. Les problèmes d’oracle ont déjà ravagé la DeFi — Moonwell a récemment fait coter le cbETH à $1 au lieu de 2,200 $ en février, ce qui a causé 1,8 million de dollars de dettes irrécouvrables. Mango Markets, Euler Finance, la liste est longue. Ce qui rend l’incident d’Aave différent, c’est que le problème ne venait pas de mauvaises données externes. C’est la couche de sécurité conçue pour empêcher la manipulation qui a créé la vulnérabilité. Le bouclier est devenu la lame.

C’est une réalité inconfortable : « Code is Law ». Les smart contracts s’exécutent automatiquement, sans intervention humaine, ce qui signifie que des erreurs d’alignement des paramètres peuvent déclencher des opérations irréversibles avant que quiconque ne s’en rende compte. La compensation de Chaos Labs peut réparer les dégâts immédiats, mais la vraie solution doit être mise en place au niveau de l’ingénierie : meilleure vérification des paramètres, contrôles de cohérence, et surveillance en temps réel qui signale les problèmes avant qu’ils ne se transforment en cascade.

C’est un rappel : dans la DeFi, même les garde-fous peuvent devenir une menace.