Comment plus de 47 millions de dollars ont été dérobés sur Curve Finance ?

Le protocole DeFi Curve Finance a fait l’objet d’une attaque lui faisant perdre 47 millions de dollars. Plusieurs pools de liquidités utilisant le langage de programmation Vyper ont subi des attaques de réentrance. 

Une défaillance de Vyper qui a coûté très cher à Curve Finance

Vyper est un compilateur, qui pour faire simple, permet aux développeurs en pythons d’utiliser leurs connaissances dans ce langage pour coder sur la blockchain Ethereum. Dans un tweet publié suite à l’attaque, la société derrière le compilateur reconnaît que “les versions 0.2.15, 0.2.16 et 0.3.0 [de Vyper] sont vulnérables à cause d’un mauvais fonctionnement des verrous de réentrance”.

L’entreprise ajoute que tous les projets reposant sur ces versions doivent les contacter. 

Une attaque de réentrance donc, mais de quoi cela s’agit-il réellement ? Très succinctement, cela correspond à l’exploitation d’une vulnérabilité au sein des contrats intelligents sur les protocoles blockchain. L’attaquant exploite une fonction pour répéter des appels avant que le traitement ne soit terminé, permettant ainsi des actions inattendues dont des détournements de fonds. 

Selon un communiqué de Curve Finance publié dans la journée, 4 pools ont été affectés par l’attaque : crv/eth, aleth/eth, mseth/eth et enfin peth/eth. Un dernier pool, le “arbitrum’s tricrypto” pourrait également être concerné. Les développeurs de chez Vyper n’y ont pas trouvé “d’exploitation rentable” mais par mesure de sécurité, il est demandé à quiconque de “quitter le pool” en question. 

Bilan provisoire ? 32 millions de dollars perdus confirme le CEO de Curve FInance Michael Egorov. Un certain nombre d’exchange furent également affectés par l’attaque : Ellipsis a signalé que quelques-uns de ses pools  stable-BNB ont été exploités à l’aide d’un ancien compilateur Vyper. Le pool alETH-ETH d’Alchemix a également fait l’objet d’un vol de 13,6 millions de dollars, de même que  pool pETH-ETH de JPEGd et ses 11,4 millions de dollars perdus ou  encore les 1,6 million de dollars dérobés sur le pool sETH-ETH de Metronome.

Curve Finance, un projet qui n’est pas au top de sa forme 

La nouvelle s’est vite répandue dans l’écosystème DeFi et une vague de panique s’est emparée du cours du utility token Curve DAO (CRV) proposé par Curve Finance. Selon les données de CoinMarketCap, le token a perdu 5% juste après le début de la communication de Curve Finance relative à l’attaque. Au moment de l’écriture de cet article, le prix du CRV a chuté de près de 14% par rapport à ses niveaux avant-attaque. 

Le projet a perdu une grosse part de ces liquidités ces derniers mois. Protocole DeFi ayant pour but de permettre des échanges de stablecoins au sein du réseau Ethereum, Curve Finance a récemment subi une série d’incidents problématiques. En effet, il y a quelques jours seulement, son omnipool appelé Conic Finance s’est fait dérobé 3,26 millions de dollars en ETH. 

Si la blockchain n’en n’est qu’à ses débuts, la  DeFi n’en n’est qu’à ses balbutiements. Fraudes, arnaques et piratages se multiplient dans cet écosystème en pleine croissance. L’avenir nous dira sûrement si l’écosystème peut apprendre de ses erreurs, corriger les failles dans ses protocoles et augmenter sa sécurité. 

Source : Cointelegraph , Curve Finance