Ce dimanche 30 juillet 2023, Curve Finance, un protocole de la finance décentralisée, a été victime d’une attaque. Un mystérieux pirate est parvenu à siphonner les cryptomonnaies contenues dans plusieurs pools de liquidités. Il s’agit d’un réservoir de fonds dans lequel les utilisateurs déposent leurs actifs en échange d’intérêts.
A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.
Other pools are safe. https://t.co/eWy2d3cDDj
— Curve Finance (@CurveFinance) July 30, 2023
Une faille de sécurité pour berner les contrats intelligents
Pour mener à bien l’opération, l’attaquant a exploité une faille de sécurité dans Vyper, l’un des langages de programmation consacrés au développement de contrats intelligents (smart contracts) sur la blockchain Ethereum. Apparemment, les versions 0.2.15, 0.2.16 et 0.3.0 de Vyper sont vulnérables. Sur son compte X, Curve Finance évoque une attaque par réentrance.
Dans le cadre de ce type d’attaque, un pirate intervient au moment où le contrat envoie des fonds à une autre adresse, puis met à jour son solde. L’attaquant peut exploiter ce processus en obligeant le contrat à répéter l’envoi des fonds avant la mise à jour du solde, drainant ainsi tous les avoirs stockés. C’est comme si votre solde bancaire ne se mettait pas à jour après avoir retiré de l’argent d’un distributeur de billets. Vous seriez alors libre de retirer à nouveau de l’argent.
C’est déjà de cette manière que des pirates ont pillé la plateforme The DAO en 2016. Le hack a permis à un attaquant inconnu de disparaître avec 50 millions de dollars. Interrogé par Decrypt, Meir Dolev, cofondateur et directeur technique de la société de cybersécurité Cyvers, souligne que ces attaques sont très courantes, mais qu’il est possible de « les éviter avec une bonne conception et un bon développement ».
Plus de 450 contrats intelligents, trouvés sur Github, sont vulnérables à ce type de manipulation, estiment les chercheurs d’Ancilia. Sur son compte X, l’équipe de Vyper a en tout cas assuré qu’une « enquête est en cours, mais tout projet s’appuyant sur ces versions doit nous contacter immédiatement ».
PSA: Vyper versions 0.2.15, 0.2.16 and 0.3.0 are vulnerable to malfunctioning reentrancy locks. The investigation is ongoing but any project relying on these versions should immediately reach out to us.
— Vyper (@vyperlang) July 30, 2023
À lire aussi : Des cryptos « qui n’existaient pas » – un nouveau hack bouscule l’industrie
Une once d’espoir
Grâce à cette faille, les criminels ont réussi à dérober plus de 40 millions de dollars. Le montant exact du butin est encore inconnu à ce stade. Sans surprise, le hack a considérablement plombé le cours du token CRV, de la DAO, « Decentralized Autonomous Organization » (Organisation Autonome Décentralisée en français), qui gère le protocole Curve. La cryptomonnaie s’est brusquement dévalorisée, passant de 0,7 dollar à moins de 0,6 dollar, indique CoinMarketCap.
Une lueur d’espoir est néanmoins apparue quelques heures après l’attaque. D’après les données blockchain analysées par The Block, un « white hat », un hacker qui utilise ses compétences de manière éthique, a réussi à intercepter une partie des fonds volés. Grâce à un bot, il a récupéré 2 879 ETH, soit plus de cinq millions de dollars, et les a rendus à Curve Finance. Pour le moment, on ignore si le hacker est en mesure de retourner d’autres cryptomonnaies volées.
Ce n’est pas la première fois que Curve Finance est la cible d’un piratage. L’été dernier, le protocole avait déjà perdu 570 000 dollars à cause d’un smart contract frauduleux. Peu après la découverte d’un vol, le géant Binance avait réagi en gelant une partie des fonds. Grâce à la plateforme, 450 000 dollars ont été récupérés par le protocole.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Decrypt