Le dimanche 30 juillet, cinq cyberattaques distinctes ont été menées sur le protocole décentralisé Curve Finance, avec des dommages liés au crypto hack estimés à 70 millions de dollars.
Les attaquants ont exploité une vulnérabilité dans les versions 0.2.15, 0.2.16 et 0.3.0 du langage de programmation Vyper.
Les experts mettent en garde contre le risque de contagion dans de nombreuses applications de DeFi.
Vous trouverez ci-dessous une analyse de l’incident.
Summary
Crypto hack de 70 millions de dollars à Curve Finance
Le dimanche 30 juillet à partir de 15h30, le chaos a éclaté sur la plateforme décentralisée Curve Finance, avec plusieurs attaques de piratage qui ont drainé des fonds d’environ 70 millions de dollars.
C’est le profil Twitter officiel de Curve qui a alerté la communauté du projet de l’incident.
En détail, le premier hack a touché le pool de pETH-ETH de JPEG d’une valeur de 11 millions de dollars, suivi de quatre autres attaques sur les pools d’alchemix (alETH-ETH), de Pendle (pETH-ETH), de Metronome (msETH-ETH) et de CRV-ETH.
Selon l’analyse, certaines de ces attaques ont été menées par des pirates blancs, qui ont prélevé des fonds dans les pools de liquidité avant d’autres acteurs malveillants, avec l’intention de restituer les fonds dès que la situation serait résolue.
Au total, les pertes nettes sont donc de l’ordre de 50 millions de dollars, et l’on peut craindre que l’incident n’affecte l’ensemble de l’écosystème DeFi.
En effet, les auteurs du hack de Curve Finance, qui gère plus de 200 pools pour un total de 3 milliards de dollars, ont exploité une vulnérabilité dans le langage de programmation Vyper, dont les versions 0.2.15, 0.2.16 et 0.3.0 sont affectées par des bogues.
Selon l’enquête initiale, certaines versions du compilateur Vyper ne mettent pas correctement en œuvre la protection contre la réintroduction, qui empêche l’exécution simultanée de plusieurs fonctions en bloquant un contrat et en permettant aux actifs d’être drainés des pools.
À l’heure actuelle, tous les projets de DeFi utilisant ces versions de Vyper risquent d’être hack.
De nombreux utilisateurs de la communauté accusent les membres des équipes Alchemix, JPEG’d et Curve (qui participent activement à la maintenance de la base de code Vyper) d’être les principaux responsables de ce bug.
Cependant, le Dr Laurence Day, fondateur de Wildcat Finance, a souligné que le problème est lié à un manque de contrôles a priori et qu’il n’est pas nécessaire de pointer les autres du doigt.
Voici ce qu’il dit:
« Les compilateurs sont préemballés avec toute une série d’hypothèses comportementales que la grande majorité d’entre nous considère comme allant de soi parce que nous supposons que des personnes plus intelligentes que nous ont fait le travail le plus proche de l’assemblage. Il est très facile de pointer du doigt et de dénoncer les échecs plutôt que de vérifier ces choses ».
Il est très intéressant de noter que le thème des MEV bot a également été inclus dans cette affaire: un chercheur MEV a pu initier le premier hack au pool peth-ETH en volant le même voleur informatique..
Les effets négatifs sur le token CRV et le reste du marché
Il est évident que la série de hacks qui s’est produite en raison de la vulnérabilité de réentrée de Vyper ne peut que nuire à la plateforme Curve Finance, tant sur le plan économique que sur le plan de la réputation.
Selon les données de DefiLlama, le TVL du protocole est passé de 3,26 milliards de dollars à 1,72 milliard de dollars en un jour, soit une chute de 46%.
En fait, de nombreuses parties, effrayées par le danger de contagion à d’autres pools de liquidités, ont préféré retirer leurs actifs en attendant que la tempête se calme, ce qui a toutefois entraîné la perte d’une grande partie des liquidités de Curve Finance.
Le token de gouvernance CRV a également été touché, avec une chute des cours de 14,25% hier et une perte de 60 millions de dollars de capitalisation boursière.
Des volumes d’échange de 75 millions de CRV ont été enregistrés sur Binance, soit 35 fois les volumes de la veille.
Actuellement, les prix semblent s’être stabilisés autour de 0,64 dollars, avec une reprise possible dans les prochaines heures, compte tenu du niveau de survente de l’indicateur RSI.
La même situation s’applique également au token Achemix ALCX, qui a perdu 6,7% au cours des catastrophes d’hier, aggravant une action de prix déjà effroyable.
Le token cote actuellement un cours de 13,06 dollars, loin de son plus haut historique de 458 dollars et avec une tendance baissière qui persiste depuis environ 1,5 an.
La crypto-monnaie a une capitalisation boursière de 24,8 millions de dollars et une offre maximale infinie.
Outre les dommages purement économiques causés par les hacks de Curve Finance, il est évident de voir comment l’incident dans la sphère DeFi a encore endommagé la réputation des protocoles décentralisés, qui sont de plus en plus souvent victimes de bugs de code ou d’exploits organisés.
Rien qu’en 2022, 3,9 milliards de dollars ont été volés dans le secteur de la finance décentralisée, avec des dommages estimés pour des milliers d’utilisateurs qui ne reverront jamais leurs actifs et ne peuvent pas passer par un processus de liquidation, typique des faillites de sociétés centralisées telles que FTX ou Mt. GOX.
