Avril est devenu le mois le plus piraté de la crypto en termes de nombre d'incidents, avec près de 30 cas signalés, et l'un des plus importants en termes de valeur monétaire, avec des pertes totales dépassant les 630 millions de dollars. La majeure partie de ces pertes provenait de deux exploits DeFi, Drift Protocol et KelpDAO, qui représentaient ensemble plus de 90 % des fonds volés. Mais l'impact d'une attaque peut également se faire sentir au-delà des protocoles piratés. Ces incidents peuvent nuire aux prix des jetons, affaiblir la confiance dans la DeFi et exercer une pression accrue sur les fonds liquides et axés sur le rendement qui étaient déjà en difficulté depuis l'événement de liquidation record du 10 octobre.

J'ai contacté plusieurs investisseurs et analystes pour comprendre pourquoi les piratages DeFi sont en augmentation et ce qu'ils pourraient signifier pour les fonds crypto. La plupart ont déclaré que les derniers incidents ne devraient pas « briser » la DeFi, mais qu'ils pourraient néanmoins exercer une pression sur les fonds en raison de la faiblesse des prix des jetons et de l'exposition du portefeuille.

Au milieu des inquiétudes généralisées selon lesquelles les outils d'IA avancés auraient contribué au nombre record de piratages en avril, Igor Igamberdiev, mon ancien collègue analyste et maintenant responsable de la recherche chez Wintermute, a déclaré que leur rôle ne devrait pas être surestimé. Igamberdiev, qui fait également partie de SEAL 911, un groupe d'intervention d'urgence crypto qui aide les équipes lors de piratages actifs et d'incidents de sécurité, a déclaré que les grands modèles de langage se sont beaucoup améliorés récemment et peuvent désormais aider les attaquants à trouver plus rapidement des vulnérabilités plus faciles. Mais il a ajouté qu'il est encore difficile de qualifier l'IA de catalyseur principal de la dernière vague d'exploits, surtout lorsque de nombreux incidents impliquaient encore des abus de fonctions administratives et de l'ingénierie sociale.

La firme d'analyse blockchain TRM Labs a déclaré cette semaine que ses analystes ont commencé à spéculer que les hackers nord-coréens utilisent des outils d'IA pour la recherche et l'ingénierie sociale, car des attaques comme Drift semblent plus ciblées et complexes que les précédentes compromissions de clés privées. Plusieurs autres investisseurs ont partagé un avis similaire, affirmant que l'IA peut aider dans les attaques, mais qu'elle ne découvre pas encore de manière autonome des vulnérabilités « zero-day » ou n'exécute pas de nouveaux exploits. (Une vulnérabilité « zero-day » est une faille logicielle inconnue du fournisseur, lui donnant zéro jour pour la corriger avant que les hackers ne l'exploitent.)

Certains investisseurs ont déclaré que la DeFi est maintenant plus grande et plus connectée, il y a donc plus de points faibles à attaquer. Francis Zhan, associé au sein de l'équipe crypto de Tribe Capital, a déclaré que la DeFi a maintenant plus de liens entre les protocoles, ce qui signifie "plus de complexité + plus de TVL [valeur totale verrouillée] = plus de surface d'attaque par dollar sécurisé". Evgeny Gokhberg, fondateur de Re7 Capital, et Amir Hajian, chercheur au sein de la société d'investissement crypto Keyrock, ont quant à eux souligné qu'avril semblait grave par le nombre de piratages, mais que les pertes en proportion de la TVL DeFi sont toujours inférieures aux sommets des cycles passés.

 

"Le volume de piratages d'avril, annualisé, indique environ 750 millions de dollars. Avec une TVL DeFi dont la croissance est prévue à 31 % — en ligne avec la croissance moyenne d'une année sur l'autre [year on year] depuis 2021 — le ratio volume de piratages/TVL continue son déclin structurel, passant de 7,24 % en 2022 à un projeté de 1,49 % en 2026", a déclaré Gokhberg. "Le mois a semblé intense ; dans le contexte d'un écosystème en maturation et en expansion, la trajectoire s'améliore sans ambiguïté."

 

Plusieurs investisseurs ont déclaré que la sécurité ne peut plus être traitée comme un audit ponctuel avant le lancement. Les équipes DeFi ont maintenant besoin d'une surveillance continue, d'une gestion des clés plus robuste, de meilleurs paramètres de pont, de plans de réponse aux incidents plus clairs et de contrôles plus stricts concernant l'accès aux fonctions d'administration. "Le problème structurel est que les protocoles DeFi gèrent une valeur à l'échelle d'un État-nation avec une architecture de sécurité à l'échelle d'une startup", a déclaré Anirudh Pai, associé chez Robot Ventures.

Les dépenses en sécurité restent faibles, ont déclaré plusieurs investisseurs. "Il existe de très nombreux protocoles qui sont essentiellement non gérés aujourd'hui, mais qui contiennent encore des millions ou des dizaines de millions de dollars dans leurs smart contracts. Le bon critère pour l'avenir n'a rien à voir avec l'audit, c'est un prérequis, mais plutôt avec l'attention portée à la surveillance en temps réel, à la gestion des clés, à la réponse aux incidents et à la sécurité opérationnelle (opsec) au sens large", a déclaré Rob Hadick, associé général chez Dragonfly.

L'IA pourrait également aider du côté de la sécurité. "La plupart des protocoles n'ont toujours pas d'infrastructure de surveillance en temps réel ; ils découvrent qu'ils ont été piratés lorsque quelqu'un en parle sur Twitter", a déclaré Thomas Klocanas, associé directeur chez Strobe Ventures. "Les outils de sécurité basés sur l'IA sont l'un des domaines d'investissement les plus intéressants dans la crypto actuellement." Hadick a ajouté une mise en garde : les startups de sécurité axées uniquement sur la crypto ont historiquement eu du mal parce que les sociétés crypto à elles seules n'ont pas été un marché suffisamment vaste pour soutenir de très grands succès d'entreprise. Mais à mesure que les stablecoins et les actifs tokenisés intègrent les entreprises traditionnelles, cela pourrait changer, en particulier pour les startups résolvant des problèmes de cybersécurité plus larges.

Plusieurs investisseurs ont déclaré que les piratages pourraient ralentir l'adoption de la DeFi à court terme, mais qu'ils ne devraient pas arrêter le mouvement plus large vers la finance onchain. Praneeth Srikanti, partenaire d'investissement technique chez Ethereal Ventures, a déclaré que les institutions n'ont pas besoin que la DeFi soit sans risque. Selon lui, elles ont besoin que le risque soit "mesuré, borné, gouverné, rapporté, corrigé et, si possible, transféré." Cela pourrait signifier un déplacement accru de capitaux vers des pools à accès restreint.

Hadick a déclaré que le coût réel est que ces piratages retardent la conversation institutionnelle sur la DeFi de 6 à 12 mois supplémentaires et donnent aux équipes de conformité "plus de munitions pour continuer à dire non, mais il ne faut pas s'attendre à ce que cela ait un impact significatif à long terme" car les problèmes de sécurité ne sont pas isolés à la crypto. "Regardez le piratage de Vercel qui s'est produit il y a seulement quelques semaines — c'était probablement le plus grand événement que nous ayons eu depuis des années", a-t-il ajouté.

Hadick a ajouté que le capital institutionnel qui se déplace réellement onchain se dirige vers les stablecoins, les obligations tokenisées, d'autres actifs du monde réel ou les coffres RWA, et les plateformes permissionnées et/ou isolées, notant que cette partie du marché continuera de croître parce que la technologie est bien meilleure.

Notamment, après l'exploit de KelpDAO, l'industrie DeFi a coordonné plus de 300 millions de dollars de soutien promis via le fonds DeFi United, aidant à limiter les dommages plus larges. Plusieurs investisseurs ont déclaré que cela montrait que la DeFi avait mûri et pouvait réagir sous la contrainte. Mais ils ont également ajouté que l'industrie ne peut pas compter sur des renflouements d'urgence chaque fois que quelque chose ne va pas. "DeFi United était en grande partie un acte d'intérêt personnel", a déclaré Samantha Bohbot, associée et directrice de la croissance chez RockawayX. "Les participants ont compris que sans un effort de récupération, les dommages réputationnels et la contagion des collatéraux leur coûteraient bien plus cher que le renflouement lui-même. Cela signale une certaine maturité dans l'écosystème, mais ne doit pas être confondu avec de l'altruisme."

La pression au niveau des fonds

L'un des impacts les plus importants pourrait concerner les fonds eux-mêmes. Pour les fonds de capital-risque et les fonds d'actions, l'impact direct est souvent limité à moins qu'une société de portefeuille ne soit étroitement liée aux protocoles affectés. Mais les fonds liquides et axés sur le rendement sont plus directement exposés car ils détiennent souvent des jetons DeFi, utilisent des marchés de prêt ou gèrent des stratégies de rendement onchain. Hadick a déclaré que les derniers piratages rendent la collecte de fonds "absolument plus difficile" pour les fonds liquides qui doivent être onchain et échanger des actifs volatils. Il a ajouté que les fonds de rendement avaient déjà du mal à trouver un bon rendement onchain, tandis que les fonds liquides souffraient depuis le 10 octobre.

Pai de Robot Ventures et Zhan de Tribe Capital ont déclaré que leurs entreprises n'avaient pas été affectées par les récents piratages. Bohbot de RockawayX a déclaré que son entreprise n'avait aucune exposition directe aux protocoles Drift, Kelp ou Resolv. Elle a ajouté que l'impact indirect provenait des changements dans les taux de dépôt et d'emprunt, mais qu'il n'y avait "aucun effet matériel" sur la performance du fonds. Klocanas de Strobe Ventures a également déclaré que son entreprise n'avait pas d'exposition directe à des dépréciations car elle n'avait pas de sociétés de portefeuille avec une valeur totale verrouillée, des revenus ou une activité utilisateur significatifs liés aux protocoles affectés.

Mathijs van Esch, associé général chez Maven 11, a déclaré que les avoirs liquides de l'entreprise ont "probablement subi un coup" alors que les jetons crypto réagissaient aux piratages et aux exploits, et que cela a probablement affecté les portefeuilles à travers l'espace. Il a ajouté que cela peut également se produire lors d'un mouvement de marché plus large.

Hajian de Keyrock a déclaré que l'impact global sur les fonds de l'industrie pourrait prendre du temps à être rendu public. Il a noté qu'aucun fonds liquide majeur n'a encore divulgué de dépréciation spécifiquement liée à Drift ou Kelp dans une lettre de fonds, en partie parce que les lettres du T2 sont généralement attendues vers la mi-juillet. Mais il a ajouté que les mécanismes sont déjà clairs et se manifestent en plusieurs couches.

La première couche de Hajian est la dépréciation directe des garanties. Tout fonds détenant du rsETH pendant l'exploit de Kelp a dû décider s'il fallait le marquer au prix du marché inférieur ou plus proche du pair s'il pensait que la récupération de DeFi United fonctionnerait, a déclaré Hajian. Il a ajouté que les deux choix sont défendables, mais chacun a des conséquences. Les fonds sans exposition directe au rsETH pourraient toujours être touchés par le biais des positions Pendle PT-rsETH, des positions de fournisseurs de liquidité Curve ou des stratégies de restaking liquide structuré. Il a déclaré que cette partie de la contagion est souvent sous-rapportée. Un fonds peut n'avoir aucune exposition directe à l'actif piraté et subir quand même une dépréciation de 5 % à 15 % sur une stratégie en raison de ce risque intrinsèque, a-t-il ajouté.

Hajian a déclaré que la deuxième couche de pression provient des marchés d'emprunt et des stratégies de rendement. Après les conséquences de Kelp, Aave a enregistré près de 8,5 milliards de dollars de sorties de capitaux, les taux d'emprunt ont flambé et les coûts d'emprunt des stablecoins ont fortement augmenté. "Les fonds de rendement exécutant des stratégies delta-neutres qui dépendaient de coûts d'emprunt stables ont subi des pertes de valorisation sur la jambe de financement, même lorsque leur garantie était intacte", a-t-il déclaré.

La troisième couche de Hajian concerne la liquidité et le "gating" (blocage des rachats). Les fonds liquides qui publient des valeurs nettes d'actifs quotidiennes ou hebdomadaires sont confrontés à un véritable défi lorsque la garantie sous-jacente est compromise et que la récupération dépend d'un effort de sauvetage de plusieurs semaines, a-t-il déclaré. Les fonds de rendement offrant des rachats mensuels peuvent avoir besoin de décider s'il faut bloquer les rachats, mettre en place des compartiments (side-pocket) ou absorber entièrement les dépréciations, et chaque option crée un problème différent pour les LPs (Limited Partners), a-t-il dit. La quatrième couche concerne les contreparties et les lignes de crédit. Hajian a déclaré que les courtiers principaux et les bureaux de gré à gré "n'ont pas retiré les lignes de crédit en masse", mais que les nouvelles expositions se sont resserrées. Les fonds qui dépendaient de ces lignes de crédit pour leurs stratégies de restaking structuré ont dû soit se désendetter à des prix défavorables, soit accepter des conditions matériellement pires, selon Hajian. "C'est un impact direct sur les rendements nets, même lorsque le collatéral principal n'a pas beaucoup bougé", a-t-il dit.

Quant à sa firme Keyrock spécifiquement, Hajian a déclaré que son activité principale est le market making, l'OTC et la fourniture de liquidités "plutôt que des fonds de rendement directionnels commingled", et que les cadres de risque opérationnel que la firme applique à son propre bilan sont de nature différente de ceux d'un fonds de rendement liquide typique. "Les implications de portefeuille que j'ai décrites ci-dessus sont les plus aiguës pour les fonds dont le produit est explicitement un rendement natif DeFi, et ce sont les stratégies où je m'attendrais aux dépréciations les plus visibles et aux changements de reporting dans les lettres aux LPs du deuxième trimestre", a déclaré Hajian. 

Pour vous abonner à la newsletter gratuite The Funding, cliquez ici.