Alchemix annonce le retour de tous les fonds dérobés par le hacker de Curve Finance
C’est un grand ouf de soulagement qu’ont dû avoir les utilisateurs de Curve Finance, le protocole DeFi. Après le vol de 61 millions de dollars par un hacker sur la plateforme, la société Alchemix, qui permet de contracter des emprunts sécurisés qui se remboursent de manière autonome et qui fait partie des victimes, a annoncé que le cyber voleur avait accepté de restituer les fonds en échange de 10% de la somme dérobée. Une restitution qui a commencé vendredi et s’est achevée le lendemain. Zoom sur une fraude réglée en quelques jours.
Des failles de Vyper qui ont coûté très cher…
Car il s’est à peine écoulé une semaine entre l’attaque informatique, qui a eu lieu le 30 juillet dernier, et l’annonce du début du retour des fonds, vendredi 4 août. Pour rappel, le hacker a profité de failles du langage de programmation Vyper pour effectuer des attaques de réentrance. Ce qui avait forcé la société ayant créé ce langage à reconnaître la vulnérabilité “ des versions 0.2.15, 0.2.16 et 0.3.0” à ce type d’attaque.
En d’autres mots, le hacker avait profité d’une faille sur les contrats intelligents des protocoles blockchain pour mettre la main sur les fonds placés sur 4 pools de liquidité (crv/eth, aleth/eth, mseth/eth et peth/eth), des réserves de cryptos permettant le service de prêts décentralisés. Comme un renard qui aurait trouvé toutes les poules de la ferme enfermées dans un même sac.
Le problème a été réglé grâce à une fameuse prime de bogue, ou bug bounty en anglais. Curve, Metronome et Alchemix ont collectivement lancé le 3 août une initiative pour recouvrir l’argent dérobé. Ils se sont entendus pour proposer une récompense correspondant à 10% des fonds récupérés, afin d’inciter le ou les auteurs du vol à restituer les 90% restants. Ce qui fixerait la somme de la prime à près de 7 millions de dollars.
Un hacker qui a de la sympathie pour l’univers de la blockchain
Et là, un miracle s’est produit. Moins d’une journée après la proposition, l’auteur de l’attaque a commencé à remettre l’argent via des transferts. Il a d’abord renvoyé 4 820,55 Alchemix ETH (alETH) à l’équipe Alchemix Finance, avant de finaliser la transaction le lendemain, soit le 5 août.
Lors des transactions, il semble que le hacker a pu communiquer avec les équipes d’Alchemix. Des messages dans lesquels il a pu développer ses motivations. “Je rembourse non pas parce que vous pouvez me trouver, c’est parce que je ne veux pas ruiner votre projet, peut-être que c’est beaucoup d’argent pour beaucoup de gens, mais pas pour moi, je suis plus intelligent que vous tous“. Un message qui interpelle. Coup de bluff ou véritable bienveillance pour les projets de blockchain? Il est fort probable que l’on ne connaisse jamais ses véritables motivations.
En plus d’Alchemix, le protocole de jeton non fongible JPEG’d a également reçu un remboursement de 5 495 Ether de la part du pirate. Dans le cadre de l’offre de prime, l’accord stipule qu’aucune des sociétés victimes n’intentera la moindre poursuite judiciaire contre le ou les auteurs. Alchemix considère l’événement comme un sauvetage “white hat”, c’est-à-dire propre.
Certainement une manière de faire oublier au plus vite ce gros incident et de rassurer les utilisateurs de Curve Finance. Mais on peut tout de même, après les faillites de la plupart des plateformes de prêts cryptos en 2022, s’interroger sur la viabilité de ce modèle. La suite au prochain numéro.
Sources: Cointelegraph, Beincrypto, Coinbay
