L'exploit de Drift a anéanti Carrot : pourquoi votre yield farm est toujours en danger

J'ai passé ces dernières années à regarder des gens courir après le rendement le plus élevé possible, en ignorant totalement la plomberie technique sous le protocole. L'effondrement récent de Carrot après l'exploit de Drift est l'exemple type de pourquoi c'est dangereux. Si vous cherchez à identifier les yield farms risquées, vous devez arrêter de regarder l'APY et commencer à analyser les dépendances.

La réponse courte

L'effondrement de Carrot est arrivé à cause de la contagion. Carrot n'avait pas forcément de bug dans son propre code, mais il comptait sur Drift pour générer son rendement. Quand Drift a été exploité, la valeur qui soutenait Carrot a disparu. En DeFi, si le protocole B utilise le protocole A pour gagner de l'argent, le protocole B n'est pas plus sûr que le protocole A.

Comment la contagion a fonctionné

Pour comprendre ça, il faut arrêter de voir les protocoles DeFi comme des îles isolées. C'est plutôt un château de cartes. Beaucoup d'optimiseurs de rendement ou de "vaults" ne génèrent pas leur propre profit. À la place, ils prennent vos dépôts et les déplacent vers d'autres protocoles pour trouver le meilleur taux.

Dans ce cas précis, Carrot dépendait fortement de Drift. L'exploit de Drift n'a pas seulement touché ceux qui avaient des fonds directement sur la plateforme. Ça a créé un vide. Comme le rendement de Carrot provenait essentiellement de l'écosystème de Drift, dès que Drift a flanché, les actifs sous-jacents de Carrot ou la valeur de ses jetons de récompense ont plongé.

J'ai déjà vu ce schéma. C'est la même logique qui a provoqué le crash de Terra Luna, mais à plus petite échelle. On a une couche de risque, et on empile une autre couche par-dessus. Si la base casse, tout le reste s'écroule.

Là où les gens se trompent

La plus grosse erreur que je vois, c'est "l'aveuglement du rendement". Les gens voient 20 % ou 50 % d'APY et arrêtent de poser des questions. Ils imaginent que le protocole est sûr parce qu'il a un tableau de bord élégant ou une grosse communauté sur Twitter.

Une autre idée reçue est de croire qu'un protocole est "audité", donc sans risque. Un audit est juste une photo du code à un instant T. Ça ne protège pas de la contagion. L'audit de Carrot a peut-être montré que son code était propre, mais ça n'aurait pas empêché Carrot de couler si le protocole où il déposait l'argent était piraté.

Comment identifier les yield farms risquées

Si vous voulez éviter le prochain Carrot, vous devez jouer les détectives avant de déposer vos fonds. Voici ce que je regarde.

Vérifiez la source du rendement

Posez-vous la question : d'où vient vraiment cet argent ? Si le protocole parle de "stratégies avancées", ça veut généralement dire qu'ils imbriquent votre argent dans d'autres protocoles. Si vous ne trouvez pas de liste claire des endroits où les fonds sont stockés, le risque est trop élevé.

Méfiez-vous des boucles récursives

Soyez prudents avec les protocoles qui utilisent leur propre jeton comme collatéral pour emprunter plus du même jeton afin de farmer encore plus. Ça crée une boucle de rétroaction. Quand le prix baisse, ça déclenche une cascade de liquidations qui peut tout raser en quelques minutes.

Analysez la chaîne de dépendances

J'essaie toujours de tracer "l'arbre des dépendances". Si je mets mon argent dans le protocole X, que le protocole X le place dans le protocole Y, et que le protocole Y utilise un bridge pour l'envoyer vers le protocole Z, je suis exposé à trois points de rupture différents. Je préfère les stratégies simples.

Passer à la pratique

Si vous en avez marre de courir après le rendement et que vous voulez juste protéger vos actifs principaux, le mieux est de les sortir des exchanges pour les mettre en stockage froid. J'utilise personnellement la Ledger Nano X parce qu'elle me permet de gérer mon portefeuille via Bluetooth sur mon téléphone sans sacrifier la sécurité d'un signataire matériel. C'est beaucoup plus difficile de perdre toutes ses économies dans un événement de contagion quand vos clés privées ne sont pas sur un hot wallet ou une farm risquée.

Si vous voulez quand même farmer, n'utilisez que l'argent que vous êtes sincèrement prêt à perdre. D'après mon expérience, un rendement "sûr" de 5 % sera toujours préférable à un rendement "peut-être" de 50 % qui finit à 0 % après un exploit.