À deux doigts de la catastrophe – La finance décentralisée ne cesse de se développer depuis son émergence à la fin de l’année 2019. Celle-ci propose le concept de composabilité, qui permet aux protocoles de s’interconnecter et multiplier les rendements. Cependant, celle-ci peut s’avérer être à double tranchant et engendrer des problèmes systémiques.
Chainlink : l’oracle de l’ensemble de la DeFi
Lancé en mai 2019, le protocole Chainlink propose un réseau d’oracles décentralisés. En pratique, un oracle est un programme qui permet aux smart contracts d’obtenir des données externes aux blockchains.
Par exemple, Chainlink propose des oracles qui renseignent en temps réel sur le cours d’une paire de cryptomonnaies donnée.
Un service utilisé par un grand nombre de protocoles DeFi à travers plus de 10 blockchains différentes.
Néanmoins, cette dépendance à cette unique source de données peut engendrer d’importants problèmes systémiques dans le cas d’une défaillance.
Jeudi 5 mai, Chris Blec a tiré la sonnette d’alarme sur Twitter concernant un point important de centralisation inhérent à Chainlink.
Chainlink pourrait détruire la DeFi
Ainsi, Chris Blec a pointé du doigt la présence d’une clé d’administration sur l’ensemble des services de Chainlink.
En effet, l’ensemble des contrats de Chainlink sont administrés par une clé dite multisignature 3 parmi 20. En pratique, cela signifie que cette clé d’administration est divisée en 20 sous-clés où seulement 3 des 20 clés sont nécessaires pour signer une transaction.
Par conséquent, l’ensemble des contrats de Chainlink peuvent être modifiés si 3 de ces 20 clés sont réunies par un acteur malveillant.
« Si 3 de ces 20 clés sont compromises de quelque manière que ce soit (piratage, attaque réglementaire, etc.), la DeFi pourrait connaître un black swan sans précédent et subir une destruction irréversible. »
Imaginons le pire. Si un attaquant venait à prendre contrôle de 3 des 20 clés, il serait en mesure d’altérer l’ensemble des contrats Chainlink. Une modification mineure du cours d’une paire de cryptomonnaies pourrait ainsi entrainer une vague de liquidation.
Une modification plus radicale du cours pourrait quant à elle entrainer une vague de liquidation telle que l’ensemble de la DeFi serait en péril. En effet, l’aspect composable des différents protocoles entrainerait une chute de dominos où chaque protocole entraine les protocoles auxquels il est connecté dans sa chute.
Cela ne s’arrêterait pas à une seule blockchain. En effet, Chainlink est l’oracle principal de l’intégralité des blockchains et seconde couche qui hébergent des écosystèmes DeFi.
Une réponse peu convaincante de Chainlink
Face à ce thread et à la menace soulevée par Chris Blec, @ChainLinkGod a apporté une réponse pour le moins décevante.
En effet, celui-ci ne nie pas l’existence de cette clé d’administration, qui pourtant n’apparait nulle part dans la documentation de Chainlink.
À l’inverse, celui-ci explique que le réseau de Chainlink a pour vocation de mieux se décentraliser dans le futur, expliquant que chaque flux de données est assuré par plusieurs nœuds avec des mécanismes de sécurités permettant de se replier vers d’autres nœuds en cas de problèmes.
Une lueur d’espoir au bout du tunnel
Tout n’est cependant pas perdu pour la DeFi. En effet, des solutions existent pour ajouter un second niveau de sécurité aux données récupérées par les applications DeFi.
Ainsi, Chris Blec présente le cas de Liquity Protocol. À l’instar du reste de la DeFi, Liquity Protocol utilise les données de Chainlink. Cependant, celui-ci est également connecté à l’oracle décentralisé de WeAreTellor.
Par conséquent, si Chainlink venait à rencontrer un problème, le protocole transitionnerait automatiquement vers la source d’oracle de WeAreTellor. Cela lui permet d’être résistant dans le cas où les clés de Chainlink venaient à être compromises.
Quoi qu’il en soit, cette solution n’est pas parfaite. Elle présente toutefois une piste pour mitiger la dépendance de l’écosystème DeFi aux services de Chainlink.
La sécurité est une composante centrale malheureusement trop souvent négligée de la DeFi. Ainsi, depuis le début de l’année 2022, 1,6 milliard de dollars ont été dérobés lors de hacks ciblant des protocoles DeFi.
