Le guide ultime pour créer un contrat intelligent de protocole de prêt DeFi

Principes de conception d'architecture de base

1. Un protocole de prêt DeFi doit imposer une séparation stricte entre les couches de gestion des garanties et de comptabilité de la dette. Cet isolement empêche la contamination croisée lors d'événements de liquidation ou de mises à jour des prix Oracle.

2. Tous les calculs de taux d'intérêt reposent sur une logique de composition pondérée dans le temps implémentée directement dans Solidity, évitant ainsi les dépendances d'horodatage externe qui pourraient être manipulées via la collusion des mineurs.

3. Le protocole impose un ratio prêt/valeur maximum codé en dur par paire d'actifs, stocké sous forme de constantes immuables plutôt que d'emplacements de stockage évolutifs, éliminant ainsi les vecteurs de contournement de la gouvernance en cas de tensions sur le marché.

4. La position d'emprunt de chaque utilisateur est représentée par une structure unique contenant le principal, les intérêts courus et l'horodatage de la dernière mise à jour, le tout mis à jour de manière atomique dans une seule transaction.

5. La liste blanche des actifs a lieu uniquement au moment du déploiement ; aucun ajout de nouveaux jetons au moment de l'exécution n'est autorisé, empêchant les implémentations malveillantes de l'ERC-20 de contourner les contrôles de sécurité.

Évaluation des garanties et intégration Oracle

1. Les flux de prix proviennent exclusivement d'oracles décentralisés avec au moins trois opérateurs de nœuds indépendants, chacun devant soumettre des attestations signées avant l'agrégation.

2. Le protocole rejette tout écart de prix supérieur à 5 % par rapport à la médiane sur tous les oracles actifs pendant plus de deux intervalles de bloc consécutifs, déclenchant un coupe-circuit qui arrête les nouveaux emprunts.

3. La valeur de la garantie est calculée en utilisant une moyenne pondérée des trois dernières réponses oracle, et pas seulement de la plus récente, réduisant ainsi la susceptibilité aux manipulations de crash flash.

4. Chaque actif pris en charge doit fournir un flux de prix Chainlink vérifié avec au moins sept jours de données historiques de disponibilité avant d'être inclus dans la liste de garanties du protocole.

5. Les horodatages de mise à jour Oracle sont validés par rapport aux horodatages de bloc avec une fenêtre de tolérance de ±15 secondes ; les valeurs en dehors de cette plage sont ignorées sans mécanismes de secours.

Mécanismes de liquidation et alignement des incitations

1. Les liquidations se produisent lorsque le facteur de santé d'un emprunteur tombe en dessous de 1,0, calculé comme suit (valeur de la garantie × LTV) / valeur de la dette, le numérateur et le dénominateur étant réévalués à l'aide des prix oracle en direct.

2. Les liquidateurs reçoivent un bonus fixe de 5 % libellé en jeton de dette liquidée, payé directement à partir du solde de garantie de l'emprunteur avant son transfert dans le portefeuille du liquidateur.

3. Des liquidations partielles sont imposées : pas plus de 50 % de l'encours de la dette peut être liquidé en une seule transaction, préservant ainsi les trajectoires de solvabilité des emprunteurs en cas de volatilité des marchés.

4. Le protocole impose un délai minimum de 10 blocs entre la détection des violations liées aux facteurs de santé et la liquidation exécutable, ce qui laisse du temps pour le remboursement manuel ou le rechargement des garanties.

5. Les pénalités de liquidation sont codées en dur dans le bytecode du contrat intelligent et ne peuvent pas être modifiées par des mises à niveau de proxy ou des propositions de gouvernance.

Exigences en matière d’audit de sécurité et de vérification formelle

1. Toutes les opérations arithmétiques utilisent la bibliothèque SafeMath d'OpenZeppelin, avec des contrôles de débordement et de sous-débordement compilés dans chaque appel de multiplication, division et exponentiation.

2. Le contrat est soumis à des tests d'exécution symbolique à l'aide de MythX avec des seuils de couverture fixés à un taux de réussite de branche de 98 % pour toutes les transitions d'état.

3. Des gardes de réentrance sont appliquées à chaque fonction publique qui modifie des bilans ou émet des événements, en utilisant des modificateurs non réentrants hérités des contrats de base audités.

4. Les appels externes vers des protocoles tiers tels que les pools Uniswap V3 sont limités aux adresses d'usine pré-approuvées vérifiées en chaîne via la comparaison de hachage keccak256.

5. Toutes les émissions d'événements incluent des paramètres indexés pour les changements d'état critiques, notammentempruntAmount, repayAmount et liquidateAmount pour permettre une surveillance fiable hors chaîne.

Foire aux questions

T1. Les utilisateurs peuvent-ils fournir plusieurs actifs simultanément en une seule transaction ? Oui. Le protocole prend en charge les opérations de dépôt par lots où les utilisateurs peuvent fournir ETH, DAI et USDC en un seul appel atomique, chaque actif étant traité séquentiellement mais dans le même contexte d'exécution.

Q2. Comment le protocole gère-t-il l'ETH comme garantie lorsqu'un ETH enveloppé est requis ? Le contrat enveloppe automatiquement l'ETH natif dans WETH lors du dépôt et le déballe lors du retrait, en utilisant l'adresse officielle du contrat WETH9 déployée sur le réseau principal.

Q3. Existe-t-il un plafond sur la capacité d’emprunt totale par actif ? Chaque actif dispose d'un plafond codé en dur défini lors du déploiement, exprimé en unités wei. Une fois atteints, les nouveaux emprunts pour cet actif sont annulés avec un code d'erreur personnalisé.

Q4. Les prêts flash sont-ils pris en charge à des fins d'arbitrage ou de liquidation ? La fonctionnalité de prêt Flash est directement intégrée au contrat principal. Tout appelant externe peut exécuter un prêt flash à condition de rembourser le principal majoré de 0,09 % de frais au sein de la même transaction.