Attaque majeure des pools de Curve : 41 millions de dollars en cryptomonnaies s'évaporent
Ce dimanche 30 juillet 2023, le monde de la finance décentralisée a été secoué par une attaque majeure exploitant une vulnérabilité dans le langage de programmation Vyper utilisé par plusieurs pools de liquidité du protocole Curve. Comment les attaquants sont-ils parvenus à subtiliser plus de 41 millions de dollars ?
le 31 juillet 2023 à 8:00.
2 minutes de lecture
Une faille du langage Vyper en cause
Les attaquants ont exploité une vulnérabilité dans certaines pools de liquidités de Curve, le célèbre protocole de finance décentralisée (DeFi). La vulnérabilité a été retracée jusqu'à Vyper, un langage de programmation alternatif pour les smart contracts d'Ethereum.
En effet, plusieurs des pools de Curve utilisant Vyper ont été exploités, entraînant des pertes estimées à 41 millions de dollars selon la firme de sécurité BlockSec. Dans les faits, les versions 0.2.15, 0.2.16 et 0.3.0 de Vyper se sont avérées vulnérables à une attaque par réentrance.
Concrètement, cela se produit dès lors qu'une fonction d'un smart contract fait un appel externe auprès d'un autre smart contrat non fiable. Ce dernier effectue alors un appel récursif à la fonction d'origine dans le but de drainer des fonds. Comme le smart contrat ne parvient pas à actualiser son état avant d'envoyer des fonds, l'attaquant peut continuellement appeler la fonction de retrait pour drainer les fonds.
D'après une analyse de la firme de sécurité Ancilia, 136 smart contrats utilisaient Vyper 0.2.15, 98 smart contrats utilisaient Vyper 0.2.16 et 226 smart contrats utilisaient Vyper 0.3.0 :
We did a fast run on github.
136 contracts found compiled with vyper 0.2.15 and used reentrant protection;
98 contracts found with 0.2.16 version
226 contracts found with 0.3.0 version— Ancilia, Inc. (@AnciliaInc) July 30, 2023
Ainsi, plusieurs pools ont été complètement drainées de leurs liquidités :
- La pool CRV-ETH de Curve : 14 millions de dollars de pertes
- La pool alETH-ETH d'Alchemix : 13,66 millions de dollars de pertes ;
- La pool pETH-ETH de JPEG'd : 11,4 millions de dollars de pertes ;
- La pool sETH-ETH de Metronome : 1,6 million de dollars de pertes.
Sur Twitter, Vyper a expliqué que le dysfonctionnement était dû au compilateur du langage de programmation, qui avait échoué dans certains cas. Ainsi, les dispositifs de protection contre les attaques par réentrance n'ont pas fonctionné.
Achetez des cryptos facilement avec eToroLe token CRV chute brutalement
Suite à l'attaque des pools de Curve, le prix du CRV a entamé une rapide chute. Le CRV est passé de 0,70 $ à 0,59 $ en l'espace de seulement 60 minutes, soit une baisse de 16 % environ :
Évolution du cours du CRV suite à l'attaque
Formez-vous au Web3 et à l'IA avec la Blockchain Business SchoolSource graphique : TradingView
La Newsletter crypto n°1 🍞
Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌
Certains contenus ou liens dans cet article peuvent être de la publicité. Cryptoast a étudié les produits ou services présentés, mais ne saurait être tenu responsable de tout dommage ou perte liés à leur usage. Investir dans les cryptomonnaies comporte des risques. N'investissez que ce que vous êtes prêt à perdre.
Directeur de publication de Cryptoast, je découvre le Bitcoin en 2017. Depuis, je m'efforce de rendre ces sujets accessibles au plus grand nombre à travers des contenus rigoureux, pédagogiques et approfondis. J'ai également collaboré avec la banque Delubac & Cie pour la réalisation de fiches pédagogiques sur les cryptomonnaies, et je suis co-auteur du livre Bitcoin et autres cryptomonnaies, publié aux éditions Larousse. Grâce à une équipe dévouée et passionnée, Cryptoast est devenu une référence incontournable, fournissant des analyses approfondies et des informations pertinentes pour tous les passionnés et curieux de l'univers des cryptomonnaies et du Web3.
Clément Wardzala
2060 articles
