Chasse au manuel ! Examen rétrospectif du cas de manipulation des prix $THE : Pourquoi 30M de garantie n'a-t-il généré que 2M de créances douteuses ?

Dans le domaine de la finance décentralisée, une vérité souvent vérifiée mais ignorée par beaucoup est la suivante : la valeur de la garantie inscrite sur le livre comptable et la valeur réellement réalisable sur le marché sont totalement différentes.

Il y a peu, le jeton $THE sur le protocole Venus a été victime d’une attaque de manipulation de prix typique à la Mango Markets. L’attaquant a ciblé le collatéral à faible liquidité $THE, utilisant une méthode pas nouvelle : d’abord, il a mis en garantie $THE pour emprunter d’autres actifs, puis a utilisé ces fonds empruntés pour acheter du $THE, faisant artificiellement monter son prix. Après la mise à jour de l’oracle pondéré dans le temps, le prix gonflé a permis d’attribuer une valeur nominale plus élevée au collatéral, permettant à l’attaquant d’emprunter davantage, créant ainsi un cercle vicieux.

Étant donné que la profondeur de marché de $THE sur la blockchain est très faible, son prix a été tiré de près de 0,27 USD à près de 5 USD. L’oracle a ensuite mis à jour le prix à environ 0,5 USD, offrant à l’attaquant une marge supplémentaire pour augmenter son effet de levier.

Une limite clé est que $THE a une offre maximale, ce qui empêche l’attaquant d’élargir indéfiniment sa position de garantie. Mais l’attaquant a utilisé une vieille technique classique pour contourner cela : une “attaque de donation” ciblant le fork du protocole Compound. Après avoir déposé massivement $THE, il a transféré directement des $THE vers le contrat vTHE, augmentant ainsi la valeur totale des collatéraux reconnus dans le contrat par cette “donation”, dépassant la limite d’offre.

Après la première phase de l’attaque, le prix de $THE s’est stabilisé autour de 0,5 USD. À ce moment-là, l’attaquant aurait pu partir avec ses actifs empruntés. Mais il a manifestement voulu maximiser ses profits, en continuant à acheter du $THE avec ses fonds empruntés, tentant de lancer une seconde montée.

Le problème est apparu : malgré le prix très élevé, la pression de vente sur le marché est devenue extrêmement lourde. La poursuite des achats par l’attaquant a rendu difficile toute nouvelle hausse du prix. Finalement, il a presque épuisé sa capacité d’emprunt, et son ratio de santé de position a été poussé près du seuil de liquidation, proche de 1.

La situation est maintenant très claire : les garanties détenues par l’attaquant, comprenant ses actifs initiaux et le $THE acheté lors de l’attaque, ont une valeur nominale d’environ 30 millions de dollars. Mais le problème central de ces garanties est que le marché ne dispose pas de suffisamment de liquidité pour absorber ces volumes.

Une fois la liquidation déclenchée, ces énormes quantités de $THE seront vendues sur le marché. Mais personne ne voudra probablement absorber une telle quantité à un prix artificiellement gonflé. Le résultat ne fait aucun doute : après la liquidation, le prix de $THE a chuté brutalement à environ 0,24 USD, voire en dessous du niveau d’avant l’attaque, car les détenteurs de tokens ont également commencé à vendre dans le processus.

Au final, le protocole Venus a laissé environ 2 millions de dollars de créances douteuses. La véritable rentabilité de l’attaquant reste difficile à déterminer avec précision ; mais d’après ses opérations sur certaines adresses, il est probable qu’il n’ait presque rien gagné, voire qu’il ait subi des pertes dues à des erreurs d’opération. Il n’est pas exclu qu’il ait aussi réalisé des profits via des positions en contrats à terme perpétuels hors plateforme.

Cet incident met en lumière une vérité essentielle : dans le monde de la DeFi, lorsque le collatéral manque de liquidité, la valeur affichée sur le registre — 30 millions de dollars — peut ne représenter qu’une fraction infime de ce qui peut réellement être réalisé sur le marché.