Donc, j'ai suivi ce qui s'est passé dans la DeFi en avril, et honnêtement, ça a été difficile. Nous parlons de plus de $600m de pertes déclarées rien ce mois-ci, et le schéma est assez révélateur - ce n'est pas juste une brèche clé ou une vulnérabilité unique. C'est un problème systémique qui se propage à travers plusieurs couches de l'écosystème.

Laissez-moi décomposer ce qui s'est passé. Les deux incidents majeurs qui ont causé la majorité des dégâts étaient la situation rsETH de Kelp DAO et Drift Protocol. Kelp DAO a subi une perte d'environ $292m lorsqu'une personne a exploité une vulnérabilité de pont pour créer des actifs non garantis. Ce n'était pas une fuite traditionnelle, mais les effets en ripple à travers les plateformes intégrées ont créé un risque systémique sérieux, en particulier pour les protocoles de prêt détenant l'actif. Ensuite, Drift Protocol a été touché par une manipulation de collatéral et des problèmes d'accès - des rapports suggèrent que des centaines de millions ont été impactés là aussi.

Mais voici ce qui est intéressant. Au-delà de ces cas principaux, il y a toute cette couche d'exploits de taille moyenne qui continuent de refaire surface. Rhea Finance a perdu 7,6 millions de dollars à cause de contrats de tokens frauduleux et de manipulation d'oracle. Grinex Exchange a signalé une fuite de portefeuille de 13,7 millions de dollars sur plusieurs adresses. GiddyDefi a été attaqué pour 1,3 million de dollars via une faille de validation d'autorisation liée à la relecture de signature - c'est une brèche clé d'un type différent, plus opérationnelle que technique.

Ensuite, il y a des cas comme l'incident de 1,2 million de dollars de CoW Swap suite à une prise de contrôle de domaine. Celui-ci est particulièrement intéressant car il montre que la surface d'attaque dépasse largement les contrats intelligents. On parle d'infrastructure, de gestion de clés, de contrôle de domaine - toute la pile.

Même les cas plus petits montrent quelque chose. Silo Finance, Aethir, Dango, Scallop, Volo Protocol - ils ont tous eu leurs propres problèmes. Mauvaise configuration d'oracle, lacunes dans le contrôle d'accès, défauts dans la logique des contrats, voire compromission de clés privées dans certains cas. Dango a même récupéré des fonds grâce à une intervention de white-hat, ce qui est déjà quelque chose.

Ce qui ressort vraiment pour moi, c'est à quel point ce paysage de risques est devenu fragmenté. Vous avez des exploits touchant la logique des contrats intelligents, les systèmes de gestion de clés, l'infrastructure de domaine, les ponts cross-chain, et les paramètres des protocoles, tout en même temps. Ce n'est pas un point de défaillance unique - ce sont plusieurs vecteurs simultanément.

La dernière addition à la liste est le protocole de perpétuels d'Aftermath. Ils ont divulgué une brèche de clé qui a permis de définir des frais négatifs pour les constructeurs, leur coûtant environ 1,14 million de dollars. Le protocole a été mis en pause, mais d'autres produits sont restés en fonctionnement.

La conclusion ici est que les pertes d'avril révèlent quelque chose de plus profond que de simples bugs de code. Le risque dans la DeFi va des vulnérabilités techniques à la sécurité opérationnelle, en passant par l'architecture du système. Tant que l'écosystème ne commencera pas à traiter ces trois couches simultanément, nous continuerons probablement à voir ce schéma se répéter.