Récemment, en revisitant le moment sombre de DeFi en avril, il y a encore une certaine appréhension. En seulement 18 jours, l'écosystème a perdu plus de 600 millions de dollars, et l'histoire derrière ces chiffres est plus méritante d'attention que les chiffres eux-mêmes.

Tout a commencé avec Drift Protocol. Le 1er avril, beaucoup ont pensé qu'il s'agissait d'une blague du poisson d'avril, mais en 12 minutes, 285 millions de dollars ont disparu. Plus tard, on a appris que le groupe Lazarus de la Corée du Nord avait passé six mois à s'infiltrer, utilisant l'ingénierie sociale, des rencontres hors ligne, puis implantant des logiciels malveillants, pour finalement obtenir des droits de gestion et vider plusieurs coffres d'un seul coup. Qu'est-ce que cela montre ? La sécurité sur la chaîne est inutile si la gestion hors ligne est compromise, car un portefeuille multi-signatures n'est qu'une décoration.

Ensuite, le pont inter-chaînes Hyperbridge a été attaqué, les hackers exploitant une vulnérabilité dans la preuve Merkle pour forger 1 milliard de jetons virtuels DOT. Mais ce n'était pas le pire. Le 18 avril, rsETH de Kelp DAO a été gravement compromis, l'attaquant utilisant une infiltration RPC combinée à une attaque DDoS pour falsifier 116 500 rsETH (environ 292 millions de dollars), ces faux tokens étant ensuite déposés en garantie sur Aave et Compound, permettant d'emprunter 236 millions de dollars en WETH.

La véritable catastrophe réside dans la réaction en chaîne. Aave, en tant que plus grand marché de prêt, permettait aux utilisateurs de faire du levier en empruntant et en prêtant sur rsETH — déposer du LRT, emprunter de l'ETH, puis échanger contre plus de LRT. Lors de la volatilité du marché, tout cela s'est effondré en un instant. En 48 heures, plus de 6 milliards de dollars de fonds ont fui Aave, et la TVL de tout le marché DeFi a disparu de 13 milliards.

J'ai remarqué un phénomène intéressant : lorsque le rendement annuel en USDC sur Aave chute à 2,61 %, en dessous des 3,14 % d'Interactive Brokers, la motivation des utilisateurs à prendre des risques avec des contrats intelligents disparaît. Toute inquiétude de sécurité suffit à faire s'effondrer instantanément des fonds à effet de levier. Cela reflète un changement dans l'environnement de rendement de DeFi, où le mécanisme de tarification du risque doit être repensé.

Fait intéressant, même dans la crise, on a vu des compromis. Le comité de sécurité d'Arbitrum a gelé 30 700 ETH de l'attaquant, Tether a coopéré avec les autorités pour geler 344 millions de USDT. Ces actions, bien qu'appréciées, soulèvent aussi des questions sur la réalité de l'idéal décentralisé — lorsque la survie est menacée, le contrôle multi-signatures est activé.

La reconstruction post-crise est en cours. Aave a levé environ 243 millions de dollars pour compenser les pertes, et les développeurs commencent à se tourner vers des portefeuilles MPC, des ponts ZK, et des systèmes de validation plus défensifs.

La leçon de cette crise d'avril est claire : en recherchant des rendements, il faut considérer le risque de portefeuille, et la sécurité, la décentralisation et la convivialité doivent évoluer simultanément. Sinon, aucune innovation technologique ne pourra soutenir le coup.