Euler revient pour lancer le protocole de prêt DeFi modulaire v2 après 31 audits suite au piratage de 197 millions de dollars

Euler EUL -4.27% a refait surface pour lancer un protocole de prêt DeFi modulaire v2 suite à l'attaque de prêt flash de 197 millions de dollars sur la plateforme en mars 2023.

Euler v2 a été mis en ligne mercredi après une année de "développement méticuleux et d'audits de sécurité rigoureux", a déclaré l'équipe dans un communiqué partagé avec The Block.

Contrairement à Euler v1, qui était un protocole de prêt et d'emprunt DeFi similaire à Compound et Aave, v2 a été redéveloppé en tant que "protocole de méta-prêt". Il est conçu pour permettre aux développeurs de créer des coffres de prêt et d'emprunt hautement personnalisables et d'ouvrir les cas d'utilisation pour le crédit on-chain, visant à éliminer la fragmentation et l'inefficacité du capital qu'Euler affirme avoir "tourmenté" les marchés de prêt isolés.

Le retour d'Euler fait suite à 31 audits de sociétés telles que Certora, Omniscia, OtterSec, Open Zeppelin et Trail Of Bits, en plus d'une compétition d'audit Cantina de 1,25 million de dollars, d'un "Capture the Flag" de 3,5 millions de dollars avec Hats Finance et d'un programme de prime aux bugs qui sera lancé cette semaine, a déclaré le PDG d'Euler Labs, Michael Bentley, à The Block.

Comment fonctionne Euler v2

Euler v2 permet le déploiement sans autorisation de coffres ERC-4626 via le Euler Vault Kit, se connectant à d'autres coffres à l'aide du Ethereum Vault Connector. ERC-4626 est une norme de coffre tokenisé pour Ethereum et d'autres blockchains compatibles EVM, facilitant l'interaction et l'intégration entre différents protocoles DeFi.

Ces coffres peuvent être conçus pour contenir des dépôts d'utilisateurs de jetons crypto traditionnels, d'actifs réels tokenisés avec des restrictions de transfert autorisées, d'actifs synthétiques créés nativement et d'actifs non fongibles. Ils sont également personnalisables, permettant aux créateurs de coffres de définir des paramètres de risque/récompense et de choisir de conserver la gouvernance pour une gestion active des risques ou de permettre aux prêteurs de gérer leur propre risque.

Chaque coffre peut reconnaître les dépôts dans les coffres existants comme garantie — une caractéristique que l'équipe affirme être unique à Euler et qui peut être utilisée pour amorcer la liquidité dans son écosystème.

"Les dépôts dans les anciens coffres gagnent une nouvelle utilité lorsqu'ils sont reconnus comme garantie par les nouveaux coffres. Pendant ce temps, les nouveaux coffres gagnent une base d'utilisateurs prête à l'emploi pour l'emprunt lorsqu'ils acceptent les dépôts des coffres existants déjà liquides et largement utilisés comme garantie", a déclaré l'équipe.

Quatre classes de coffres sont prises en charge par l'interface frontend d'Euler lors du lancement : les coffres de garantie sous séquestre, gouvernés, non gouvernés et les coffres agrégateurs de rendement.

Les coffres de garantie sous séquestre sont non gouvernés, détenant des dépôts en garantie pour des prêts d'autres coffres qui ne génèrent pas d'intérêt car ils ne permettent pas d'emprunter directement. Les coffres gouvernés, gérés par une DAO, un gestionnaire de risque ou un individu, permettent à la fois l'utilisation de la garantie et l'emprunt, offrant un rendement supplémentaire aux déposants. Les coffres non gouvernés ont des paramètres fixes pour les prêteurs qui préfèrent gérer leur propre risque. Enfin, les coffres agrégateurs de rendement, gérés par un gouverneur, agrègent les actifs des prêteurs et les dirigent vers divers coffres ERC-4626, y compris des coffres externes, optimisant le risque et la récompense à travers différents types de coffres.

La tarification des actifs est gérée via le système Oracle de prix Euler, un système de tarification on-chain composable construit autour de l'interface IPriceOracle.

"Ce système nous permet d'intégrer une gamme diversifiée d'oracles de prix externes via des adaptateurs immuables, garantissant que nous obtenons des flux de prix précis et fiables pour nos utilisateurs", a déclaré le PDG d'Euler Labs.

Euler v2 permet des liquidations de "marché libre", a expliqué Bentley, avec des créateurs de coffres plus avancés capables de personnaliser leurs propres flux de liquidation. Cependant, il conserve également le mécanisme de liquidation par enchère inversée néerlandaise d'Euler v1 comme norme, populaire car il offre certains des bonus de liquidation les plus bas dans DeFi, ce qui aide à protéger les emprunteurs et à maintenir la solvabilité des pools, a-t-il noté.

Bentley a affirmé que les coffres d'Euler sont plus efficaces en capital que les protocoles de prêt modulaires plus simples, offrant un rendement plus élevé pour les déposants, réduisant la fragmentation de la liquidité et le taux v

volatilité pour les emprunteurs et un niveau de flexibilité pour les développeurs que d'autres plateformes ne peuvent égaler. « Vous pouvez utiliser Euler pour construire d'autres protocoles de prêt, mais l'inverse n'est pas vrai », a-t-il ajouté.

Le EUL natif d'Euler continuera de servir de jeton de gouvernance pour la v2, a confirmé Bentley. Euler Labs prévoit d'annoncer des « projets substantiels » impliquant des coffres dans les semaines à venir et travaille également sur quelque chose de nouveau qui aborde les défis de coût auxquels les utilisateurs de DeFi sont confrontés lorsqu'ils échangent entre plateformes, a-t-il déclaré.

L'attaque et la récupération de prêt flash de 197 millions de dollars d'Euler

Le 13 mars 2023, Euler a été victime d'une attaque complexe utilisant des prêts flash, entraînant une perte de 197 millions de dollars en actifs cryptographiques, y compris de l'ether jalonné, de l'USDC et du bitcoin enveloppé.

Les prêts flash, bien qu'utiles dans le secteur DeFi à des fins légitimes, sont souvent exploités par des attaquants en raison de l'absence de garantie requise. Cependant, ces prêts comportent un risque élevé, car ils doivent être remboursés dans un délai très court.

Suite à l'attaque, le jeton EUL d'Euler a connu une baisse de près de 70 % de sa valeur, tombant à 2,07 $. Le jeton se négocie actuellement à 5,02 $, selon la page de prix Euler de The Block.

Graphique des prix EUR/USD. Image : The Block/TradingView.

Pour récupérer les fonds volés, Euler a offert à l'attaquant une prime de 10 % d'une valeur de 19,7 millions de dollars, avec un avertissement d'initier une récompense de 1 million de dollars pour des informations sur l'attaquant si les 90 % restants des fonds n'étaient pas retournés.

Malgré les doutes initiaux lorsque le pirate a blanchi 1,8 million de dollars via le mélangeur de crypto Tornado Cash trois jours après l'attaque, le processus de récupération a commencé le 18 mars avec le retour de 5,4 millions de dollars à Euler.

Au cours des jours suivants, le pirate a continué à retourner des fonds à des intervalles variables. Ils ont retourné la tranche la plus importante de 102 millions de dollars en ether.

Le 28 mars, le pirate a envoyé une série de messages sur la chaîne à l'adresse d'Euler, utilisant les données d'entrée pour les partager avec le public. Dans ces messages, l'attaquant a déclaré qu'il était "désolé" et a promis de retourner les fonds restants dès que possible.

Le 3 avril, l'attaquant a retourné les 31 millions de dollars restants, marquant une fin réussie aux efforts de récupération.

Un whitehat affirme qu'une correction de bug a involontairement conduit à l'attaque

En septembre 2023, un whitehat pseudonyme connu sous le nom de Kankodu a affirmé avoir soumis un rapport de prime de bug qui a introduit une vulnérabilité spécifique sur Euler, entraînant par la suite le piratage.

Kankodu a déclaré avoir identifié le « bug du premier dépôt » d'Euler en juillet 2022 — un problème distinct de l'incident de mars — et a reçu 50 000 $ pour la découverte.

Cependant, la correction de ce bug a introduit une fonction supplémentaire dans le code d'Euler, « donateToReserves », destinée à renforcer les réserves, ce qui a involontairement créé la plus grande vulnérabilité qui a été exploitée dans l'attaque de 197 millions de dollars, a déclaré Kankodu.

Des "mesures de protection significatives" promises dans la v2

Étant donné l'ampleur de l'exploitation de la v1, Euler pourrait avoir du mal à attirer des utilisateurs vers la v2. Cependant, Euler Labs reste confiant de le faire, ayant mis en place des « mesures de protection significatives » pour prévenir une attaque similaire.

« Nous sommes profondément concentrés sur la sécurité et avons réimaginé l'espace de prêt avec la meilleure technologie disponible. Notre approche a été de collaborer étroitement avec les créateurs de coffres pour garantir qu'Euler v2 non seulement aborde les défis passés, mais établit également une nouvelle norme dans le prêt DeFi », a déclaré Bentley.

« La vérification formelle de Certora a prouvé avec succès la propriété du 'Saint Graal' pour le coffre-fort Euler v2, garantissant que les comptes restent sains dans toutes les conditions. Cette approche robuste aurait empêché la vulnérabilité de la v1 d'Euler, offrant une forte assurance pour le