Curve Finance propose 1.85 million de dollars à celui qui pourra identifier le hacker de ses pools
Curve Finance, une des plateformes DeFi les plus populaires, a récemment fait l’objet d’un piratage de grande ampleur. En réponse à cet incident déstabilisant, l’entreprise a proposé une récompense de 1,85 million de dollars à toute personne capable d’identifier le responsable de ce piratage.
Un piratage d’ampleur et une chasse à l’homme à 1,85 million de dollars
Le 30 juillet dernier, le protocole DeFi, Curve Finance, a subi un piratage important, au cours duquel plus de 61 millions de dollars ont été siphonnés de ses pools. La méthode employée pour cette attaque a été identifiée comme une exploitation vulnérable du langage de programmation Vyper. Ce langage est souvent utilisé dans le développement de contrats intelligents sur la blockchain Ethereum.
Cependant, l’auteur de cette attaque demeure inconnu, et Curve Finance poursuit activement ses efforts pour identifier l’individu ou le groupe responsable.
Le 3 août, Curve Finance et d’autres protocoles touchés par l’attaque ont proposé une récompense de 10 %, soit plus de 6 millions de dollars, au pirate informatique. L’offre stipulait que si le pirate acceptait l’offre, il devait retourner les actifs volés à Alchemix et JPEGd, et rembourser les autres pools affectés. Le pirate a respecté une partie de l’accord, en restituant les actifs volés à Alchemix et JPEGd, mais n’a pas complètement remboursé les autres pools affectés.
Comme le délai pour le retour volontaire des fonds a expiré, Curve Finance a maintenant décidé de proposer une récompense de 1,85 million de dollars à quiconque pourrait identifier le hacker.
Selon le message publié sur la chaîne, “si l’exploitant choisit de restituer intégralement les fonds, nous n’irons pas plus loin”.
Les dessous du piratage et le spectre de la vulnérabilité
Avant de restituer une partie des fonds, le pirate a posté un message apparemment destiné aux équipes d’Alchemix et de Curve. Il prétendait être disposé à rendre les fonds non pas par peur d’être retrouvé, mais parce qu’il ne souhaitait pas ruiner les projets concernés.
“Je rembourse non pas parce que vous pouvez me trouver, mais parce que je ne veux pas ruiner votre projet”, a-t-il écrit dans le message.
L’attaque, qui a eu lieu le 30 juillet, a drainé plus de 61 millions de dollars en cryptomonnaies des pools de Curve, dont 13,6 millions de dollars de l’alETH-ETH d’Alchemix, 11,4 millions de dollars du pETH-ETH de JPEGd et 1,6 million de dollars du sETH-ETH de Metronome.
Le pirate a ciblé des réserves de cryptomonnaies stables qui utilisaient des versions sensibles aux failles du langage de programmation Vyper. Il a utilisé ce qu’on appelle des “attaques de réentrée”. Ce type d’attaque consiste à exploiter une faille dans un contrat intelligent, permettant au pirate d’interrompre et de reprendre à plusieurs reprises des transactions, afin d’extraire plus de fonds que ce qui était initialement prévu.
Cette exploitation a mis en lumière les vulnérabilités existantes au sein de plusieurs projets DeFi, déclenchant une mobilisation pour la récupération des fonds volés à travers tout l’écosystème au cours de la semaine passée.
Source : Cointelegraph
