la crypto pour tous
Rejoindre
A
A

🟠DIRECT - DeFi en état d’alerte maximale : Bilan alourdi pour Curve Finance

lun 31 Juil 2023 ▪ 5 min de lecture ▪ par Mikaia A.
S'informer DeFi

Hier, tard dans la soirée, Curve Finance a subi une attaque par réentrée. Les comptes rendus provisoires de ce hack ont fait mention d’une disparition d’environ 26 millions de dollars. Sauf que la nuit fut longue pour l’équipe de Curve, et la liste des casses aussi. À en voir les dernières nouvelles, le montant des sommes dérobées s’élève à 52 millions de dollars.

Photo d'Anonymous et logo de Curve Finance

Panique générale autour du hack de Curve

L’écosystème DeFi pleure en ce moment. Après le signalement d’une attaque majeure sur le protocole Curve, occasionnant la perte d’environ 11 millions de dollars, les choses se sont aggravées.

Curve a saigné depuis hier soir

 « Mise à jour #PeckShieldAlerte – Il y a 52 millions de dollars exploités jusqu’à présent à partir de Alchemix, JPEG’d, MetronomeDAO, deBridge, Ellipsis et Curve CRV-ETH. »

Quelque temps auparavant, PeckShield a avancé un total de 26,76 millions de dollars dérobés chez Curve Finance.

D’après BeInCrypto, cette « reentrancy attack » n’a pas seulement affecté les pools stables de Curve. Des dégâts ont également été signalés dans d’autres protocoles DeFi comme Ellipsis (d’énormes pertes en BNB), JPEG’d (11,4 millions de dollars), Alchemix (13,6 millions de dollars), MetronomeDAO (1,6 million de dollars)… L’écosystème dans son ensemble a dégringolé, au point d’afficher une baisse de 2,3 milliards de dollars de sa TVL.

Et pour enfoncer le clou, le CRV a perdu 16 % de sa valeur en 24 heures. Elle s’échangeait à 0,064 dollar au moment de la mise sous presse. Une belle performance par rapport au prix du Curve dimanche à 23h15, 0.59 dollar.

Vyper, le principal fautif

L’attaque de réentrée ayant saigné Curve Finance n’aurait pas eu lieu si Viper a assuré sa mission. Ce langage de smart contracts intelligent Pythonic pour l’EVM a présenté des vulnérabilités au point d’autoriser ces lourdes pertes.

Curve dénonce le fautif

« Un certain nombre de stablepools (alETH/msETH/pETH) utilisant Vyper 0.2.15 ont été exploités en raison d’un dysfonctionnement du verrou de réentrée. Nous évaluons la situation et informerons la communauté au fur et à mesure ».

Les autres pools restent sûrs. »

« PSA : Les versions 0.2.15, 0.2.16 et 0.3.0 de Vyper sont vulnérables à un mauvais fonctionnement de verrous de réentrance. L’enquête est en cours mais tout projet reposant sur ces versions doit immédiatement nous contacter. »

CoinPedia, qui a repris les résultats d’une enquête menée par Ancilia, avance ces détails :

  • 136 contrats intelligents utilisaient Vyper 0.2.15 ;
  • 98 d’entre eux sont déployés sur Vyper 0.2.16 ;
  • Et 226 smart contracts sur Vyper 0.3.0.

Tout cela provient d’un verrou de réentrée défectueux propice à des transferts massifs et simultanés à partir d’autres protocoles DeFi.

Le mal est fait. Et personne n’a appris des leçons de l’attaque de réentrée d’EraLend ayant occasionné plusieurs millions de dollars volés.

Curve Finance sauvé par des pirates « White hat »

Certains analystes avancent que l’attaque de Curve peut aller au-delà de 70 millions de dollars. Si une majorité de ce pactole se trouve en ce moment entre les mains de gens mal intentionnés, certains des fonds ont été récupérés par des bons pirates, les « whitehats », et des « bots de MEV.

Un hacker whitehat titulaire de l’adresse « cOffeebabe.eth » a affirmé avoir retourné 2 879 ETH (5,4 millions de dollars) à l’adresse de déploiement signalé par Curve.

Mais cette noble initiative, couplée à une stabilité des contrats crvUSD, ne stoppera pas l’hémorragie de Curve Finance qui a enregistré 32 millions de jetons CRV de pertes.

Beaucoup de questions se posent en ce moment en dépit des tentatives de réparation, un peu tardives, du PDG de Curve Finance. Michel Egorov a en effet rattrapé la maladresse de son équipe en remboursant 4,63 millions d’USDT et en déposant 16 millions de CRV sur Aave. En ce moment, il serait endetté de 59,68 millions d’USDT sur Aave, avec un taux de santé de 1,69, souligne Metaverse Post.

Dans tout cela, l’attitude des pirates white hat est louable. Comme la dernière fois, Binance et les autres exchanges pourront également tendre la main afin d’éviter une DeFi exsangue. Au moins il gèleront les avoirs volés chez Curve Finance.

Maximisez votre expérience Cointribune avec notre programme 'Read to Earn' ! Pour chaque article que vous lisez, gagnez des points et accédez à des récompenses exclusives. Inscrivez-vous dès maintenant et commencez à cumuler des avantages.



Rejoindre le programme
A
A
Mikaia A. avatar
Mikaia A.

La révolution blockchain et crypto est en marche ! Et le jour où les impacts se feront ressentir sur l’économie la plus vulnérable de ce Monde, contre toute espérance, je dirai que j’y étais pour quelque chose

DISCLAIMER

Les propos et opinions exprimés dans cet article n'engagent que leur auteur, et ne doivent pas être considérés comme des conseils en investissement. Effectuez vos propres recherches avant toute décision d'investissement.