Les prêts flash

Un prêt consenti par des inconnus sans que l'utilisateur ait à sacrifier une partie de son argent ? C'est possible, à une condition : les personnes doivent rembourser le prêteur lors de la même transaction que celle qui a émis les fonds. Cela semble étrange, n'est-ce pas ? Que peut-on faire avec un prêt qui doit être remboursé quelques secondes plus tard ?

Eh bien, il s'avère que vous pouvez appeler des contrats intelligents dans cette même transaction. Si vous pouvez gagner plus d'argent en utilisant votre prêt, vous pouvez rendre l'argent et empocher les bénéfices en un clin d'œil. Mais ce n'est pas si simple. Lisez la suite pour en savoir plus sur les dernières nouveautés de l'écosystème DeFi.

Introduction

Dans l'espace des crypto-monnaies, on parle beaucoup de réinventer le système financier traditionnel, mais sur la blockchain. Les sceptiques peuvent ne pas être d'accord avec cette idée, mais il est certain qu'une infrastructure intéressante est en train de se construire sur ce front.

En effet, l'objectif de DeFi (ou finance décentralisée) est de donner vie à un écosystème financier sans autorisation, décentralisé et transparent sur les réseaux blockchain. Les crypto-monnaies ont prouvé qu'il était possible de le faire avec de l'argent. Chaque jour, des systèmes comme le bitcoin sont utilisés pour transférer de la valeur dans le monde entier.

La nouvelle vague de technologies DeFi promet une couche supplémentaire. Aujourd'hui, vous pouvez contracter des prêts garantis par des crypto-monnaies, échanger des actifs numériques en toute confiance et stocker des richesses dans des pièces qui imitent le prix des monnaies fiduciaires.

Dans l'article suivant, nous allons nous pencher sur une catégorie spécifique de prêts - les prêts flash. Comme nous le verrons bientôt, il s'agit d'ajouts vraiment uniques à la pile financière décentralisée en pleine expansion.

Comment fonctionnent les prêts ordinaires ?

La plupart d'entre nous comprennent comment fonctionne un prêt ordinaire. Il est toutefois utile de le rappeler afin de pouvoir faire la comparaison plus tard.

Prêts non garantis

Un prêt non garanti est un prêt pour lequel vous n'avez pas besoin de fournir de garantie. En d'autres termes, il n'y a pas de bien que vous acceptez que le prêteur puisse avoir si vous ne remboursez pas le prêt. Par exemple, supposons que vous voulez vraiment une chaîne en or de 3 000 $. Vous n'avez pas l'argent disponible, mais vous l'aurez lorsque vous serez payé la semaine prochaine.

Vous parlez à votre ami Bob. Vous lui expliquez à quel point vous voulez cette chaîne, comment elle améliorera votre jeu de trading d'au moins 20 %, et il accepte de vous prêter l'argent. À condition, bien sûr, que tu le rembourses dès que tu auras reçu ta paie.

Bob est votre bon ami, il n'a donc pas perçu de commission lorsqu'il vous a prêté les 3 000 dollars. Tout le monde ne sera pas aussi gentil - mais, là encore, pourquoi le seraient-ils ? Bob vous fait confiance pour le rembourser. Une autre personne ne vous connaît peut-être pas et ne sait pas si vous allez vous enfuir avec son argent.

En général, les prêts non garantis accordés par des institutions exigent une certaine forme de vérification de la solvabilité. Ils examinent vos antécédents (le score de crédit) pour mesurer votre capacité de remboursement. S'ils voient que vous avez contracté plusieurs prêts et que vous les avez remboursés dans les délais, ils peuvent se dire que vous êtes plutôt fiable. Prêtons-leur de l'argent.

À ce moment-là, l'institution vous donne l'argent, mais il est assorti de conditions. Ces conditions sont les taux d'intérêt. Pour obtenir l'argent maintenant, vous devez accepter de rembourser un montant plus élevé plus tard.

Ce modèle vous est peut-être familier si vous utilisez une carte de crédit. Si vous ne payez pas votre facture pendant une période donnée, des intérêts vous sont facturés jusqu'à ce que vous remboursiez le solde total (et des frais supplémentaires).

Prêts garantis

Parfois, un bon score de crédit ne suffit pas. Même si vous avez remboursé tous vos prêts à temps pendant des décennies, vous aurez du mal à emprunter de grosses sommes d'argent sur la seule base de votre solvabilité. Dans ce cas, vous devez fournir une garantie.

Si vous demandez un prêt important à quelqu'un, il est risqué pour lui de l'accepter. Pour réduire un peu le risque, il vous demandera de mettre votre peau dans le jeu. Un de vos actifs - qu'il s'agisse d'un bijou ou d'un bien immobilier - deviendra la propriété du prêteur si vous ne le remboursez pas à temps. L'idée est que le prêteur puisse récupérer une partie de la valeur qu'il a perdue. En un mot, c'est la garantie.

Supposons que vous voulez maintenant une voiture de 50 000 $. Bob a confiance en vous, mais il ne veut pas vous donner l'argent sous la forme d'un prêt non garanti. Au lieu de cela, il vous demande d'apporter une garantie - votre collection de bijoux. Maintenant, si vous ne remboursez pas le prêt, Bob peut saisir votre collection et la vendre.

Comment fonctionne un prêt flash ?

Le prêt flash est un prêt non garanti, car vous ne fournissez aucune garantie. Mais vous n'avez pas non plus besoin de passer un contrôle de solvabilité ou quoi que ce soit d'autre. Vous demandez simplement au prêteur si vous pouvez emprunter 50 000 $ en ETH, il répond oui ! Voilà ! et c'est parti.

Le piège ? Un prêt flash doit être remboursé au cours de la même transaction. Ce n'est pas du tout très intuitif, mais c'est uniquement parce que nous sommes habitués à un format de transaction typique où les fonds passent d'un utilisateur à un autre. Comme lorsque vous payez des biens ou des services, ou que vous déposez des jetons dans un échange.

Cependant, si vous connaissez un peu l'Ethereum, vous savez que la plateforme est assez flexible - c'est pourquoi certains l'appellent l'argent programmable. Dans le cas d'un prêt flash, vous pouvez considérer que le "programme" de votre transaction se compose de trois parties : recevoir le prêt, faire quelque chose avec le prêt, rembourser le prêt. Et tout cela se passe en un clin d'œil !

Attribuons cela à la magie de la technologie blockchain. La transaction est soumise au réseau, vous prêtant temporairement ces fonds. Vous pouvez faire des choses dans la deuxième partie de la transaction. Faites ce que vous voulez, tant que les fonds sont de retour à temps pour la troisième partie. Si ce n'est pas le cas, le réseau rejette la transaction, ce qui signifie que le prêteur récupère ses fonds. En fait, en ce qui concerne la blockchain, ils ont toujours eu les fonds.

Cela explique pourquoi le prêteur n'exige pas de garantie de votre part. Le contrat de remboursement est exécuté par le code.

Mais quel est l'intérêt ?

À ce stade, vous vous demandez probablement pourquoi vous avez contracté un prêt flash. Si tout cela se produit en une seule transaction, vous ne pouvez pas exactement acheter une Lambo, n'est-ce pas ?

Eh bien, ce n'est pas vraiment le but ici. Concentrons-nous sur la deuxième partie de la transaction décrite précédemment, où vous faites quelque chose avec le prêt. L'idée est de verser les fonds dans un contrat intelligent (ou une chaîne de contrats), de réaliser un profit et de restituer le prêt initial à la fin de la transaction. Comme vous pouvez l’imaginer, le but des prêts flash est de réaliser des bénéfices.

Il y a quelques cas d'utilisation où cela pourrait être utile. Évidemment, vous ne pouvez pas faire de choses hors chaîne pendant ce temps, mais vous pouvez exploiter les protocoles DeFi pour gagner plus d'argent en utilisant votre prêt. Les applications les plus populaires sont l'arbitrage, où vous profitez des disparités de prix entre les différents lieux d'échange.

Supposons qu'un jeton se négocie à 10 $ sur le DEX A, mais à 10,50 $ sur le DEX B. En supposant qu'il n'y ait pas de frais, acheter dix jetons sur le DEX A avant de les revendre sur le DEX B rapporterait un bénéfice de 5 $. Ce genre d'activité ne va pas vous permettre de vous acheter une île privée de sitôt, mais vous pouvez voir comment vous pourriez gagner de l'argent en négociant de gros volumes. Si vous achetez 10 000 jetons pour 100 000 dollars et que vous réussissez à les revendre pour 105 000 dollars, il vous restera un bénéfice de 5 000 dollars.

Si vous obtenez un prêt flash (via le protocole Aave, par exemple), vous pouvez profiter d'opportunités d'arbitrage comme celle-ci sur les échanges décentralisés. Voici un exemple de ce à quoi cela pourrait ressembler :

• Contracter un prêt de 10 000 $.
• Utiliser le prêt pour acheter des jetons sur DEX A
• Revendre les jetons sur DEX B
• Remboursez le prêt (plus les intérêts)
• Gardez le bénéfice

Tout cela en une seule transaction ! D'un point de vue réaliste, cependant, les frais de transaction, combinés à une forte concurrence, aux taux d'intérêt et au slippage, rendent les marges d'arbitrage très étroites. Il faudrait trouver un moyen de jouer sur les différences de prix pour que l'activité soit rentable. Lorsque vous êtes en concurrence avec des milliers d'autres utilisateurs qui tentent de faire de même, vous n'avez pas beaucoup de chance.

Attaques de prêts flash

Les crypto-monnaies et, par extension, le DeFi, sont un domaine hautement expérimental. Lorsque tant d'argent est en jeu, ce n'est qu'une question de temps avant que des vulnérabilités ne soient découvertes. Sur Ethereum, nous en avons vu un exemple avec le piratage emblématique de 2017 de DAO. De nombreux protocoles ont depuis été attaqués à 51 % à des fins financières.

En 2020, deux attaques de prêts flash très médiatisées ont vu les attaquants s'envoler avec près d'un million de dollars en valeur à l'époque. Les deux attaques ont suivi un schéma similaire.

La première attaque de prêt flash

Dans la première, l'emprunteur a contracté un prêt flash en éther sur dYdX (une DApp de prêt). Ensuite, il a divisé ce prêt et l'a envoyé à deux autres plateformes de prêt : Compound et Fulcrum.

Sur Fulcrum (construite sur le protocole bZx), l'attaquant a utilisé une partie du prêt pour vendre à découvert de l'ETH contre du bitcoin enveloppé (WBTC), ce qui signifie que Fulcrum devait maintenant acquérir du WBTC. Cette information a été transmise à un autre protocole DeFi, Kyber, qui a exécuté l'ordre sur Uniswap, un DEX populaire basé sur Ethereum. Mais, en raison de la faible liquidité d'Uniswap, le prix des WBTC a considérablement augmenté, ce qui signifie que Fulcrum a payé trop cher les WBTC qu'il a achetés.

Au même moment, l'attaquant a contracté un prêt composé de WBTC en utilisant le reste du prêt dYdX. Le prix a augmenté, ils ont échangé les WBTC empruntés sur Uniswap et ont réalisé un bénéfice décent. Enfin, ils ont remboursé leur prêt à dYdX et ont empoché les ETH restants.

Cela semble être beaucoup de travail, et pourrait même être difficile à suivre. L'essentiel est que l'attaquant a utilisé cinq protocoles DeFi différents pour manipuler les marchés. Incroyablement, tout cela s'est produit dans le temps qu'il a fallu pour que le prêt flash original soit confirmé.

Avez-vous identifié où était le problème ? C'était dans le protocole bZx utilisé par Fulcrum. En manipulant le marché, l'attaquant a pu lui faire croire que le WBTC valait beaucoup plus qu'il ne valait réellement.

La deuxième attaque de prêt flash

Ce n'était pas une bonne semaine pour bZx. Quelques jours plus tard, il a été victime d'une nouvelle attaque. L'auteur de l'attaque a contracté un prêt flash et en a converti une partie en stablecoin (sUSD). Vous savez probablement déjà que les stablecoins suivent le cours des monnaies fiduciaires. Il y a USD dans le nom, après tout.

Malgré leur nom, les contrats intelligents ne sont pas si intelligents. Ils ne savent pas ce que les stablecoins sont censés coûter. Ainsi, lorsque l'attaquant a passé un ordre massif d'achat de sUSD (en utilisant des ETH empruntés), le prix a doublé sur Kyber.

bZx a pensé que le sUSD valait 2 $ au lieu de 1 $. L'attaquant a alors contracté un prêt d'ETH beaucoup plus important que ce qui aurait été normalement autorisé sur bZx, puisque sa pièce de 1 $ avait le pouvoir d'achat de 2 $. Enfin, l'attaquant a remboursé le prêt flash initial et s'est enfui avec le reste.

Les prêts flash sont-ils risqués ?

À tort ou à raison, ce vecteur d'attaque particulier est impressionnant, ne serait-ce que parce qu'il montre jusqu'où les attaquants peuvent aller. Il est facile d'examiner rétrospectivement les méthodes utilisées et de dire que bZx aurait dû utiliser un oracle de prix différent pour obtenir ses données. Mais la réalité est que ce type de vol est incroyablement bon marché : il ne demande pas beaucoup d'investissement de la part de l'attaquant. Aucun élément financier dissuasif ne les a empêchés de réussir ce coup.

Traditionnellement, d'énormes quantités de crypto-monnaies étaient nécessaires aux individus ou aux groupes qui voulaient manipuler le marché. Mais avec les prêts flash, n'importe qui peut devenir une baleine pendant quelques secondes. Et, comme nous l'avons vu, quelques secondes suffisent pour s'emparer de centaines de milliers de dollars d'éther.

Le bon côté des choses, c'est que le reste de l'espace va tirer des leçons de ces deux attaques. Est-il probable que quelqu'un d'autre réussisse à en faire une autre, maintenant que tout le monde est au courant ? Peut-être. Les oracles présentent un certain nombre de faiblesses, comme l'a montré la deuxième attaque, et ils ont besoin d'un travail considérable pour se débarrasser de ces vulnérabilités.

Dans l'ensemble, il ne s'agit pas d'un défaut des prêts flash, spécifiquement - les vulnérabilités qui ont été exploitées étaient dans d'autres protocoles, tandis que les prêts flash ont simplement financé l'attaque. Cette forme de prêt DeFi pourrait avoir de nombreux cas d'utilisation intéressants à l'avenir, notamment en raison des faibles risques encourus par les emprunteurs et les prêteurs.

Conclusion

Les prêts flash sont une entrée récente dans l'espace DeFi, mais ils ont certainement fait une impression durable. Le concept de prêts non garantis, appliqués uniquement par code, ouvre un monde de possibilités dans un nouveau système financier.

Les cas d'utilisation sont assez limités pour le moment, mais, en fin de compte, les prêts flash ont jeté les bases de nouvelles applications innovantes dans la finance décentralisée.