Attaque majeure des pools de Curve : 41 millions de dollars en cryptomonnaies s'évaporent

Ce dimanche 30 juillet 2023, le monde de la finance décentralisée a été secoué par une attaque majeure exploitant une vulnérabilité dans le langage de programmation Vyper utilisé par plusieurs pools de liquidité du protocole Curve. Comment les attaquants sont-ils parvenus à subtiliser plus de 41 millions de dollars ?

Attaque majeure des pools de Curve : 41 millions de dollars en cryptomonnaies s'évaporent

Une faille du langage Vyper en cause

Les attaquants ont exploité une vulnérabilité dans certaines pools de liquidités de Curve, le célèbre protocole de finance décentralisée (DeFi). La vulnérabilité a été retracée jusqu'à Vyper, un langage de programmation alternatif pour les smart contracts d'Ethereum.

En effet, plusieurs des pools de Curve utilisant Vyper ont été exploités, entraînant des pertes estimées à 41 millions de dollars selon la firme de sécurité BlockSec. Dans les faits, les versions 0.2.15, 0.2.16 et 0.3.0 de Vyper se sont avérées vulnérables à une attaque par réentrance.

Concrètement, cela se produit dès lors qu'une fonction d'un smart contract fait un appel externe auprès d'un autre smart contrat non fiable. Ce dernier effectue alors un appel récursif à la fonction d'origine dans le but de drainer des fonds. Comme le smart contrat ne parvient pas à actualiser son état avant d'envoyer des fonds, l'attaquant peut continuellement appeler la fonction de retrait pour drainer les fonds.

D'après une analyse de la firme de sécurité Ancilia, 136 smart contrats utilisaient Vyper 0.2.15, 98 smart contrats utilisaient Vyper 0.2.16 et 226 smart contrats utilisaient Vyper 0.3.0 :

Ainsi, plusieurs pools ont été complètement drainées de leurs liquidités :

  • La pool CRV-ETH de Curve : 14 millions de dollars de pertes
  • La pool alETH-ETH d'Alchemix : 13,66 millions de dollars de pertes ;
  • La pool pETH-ETH de JPEG'd : 11,4 millions de dollars de pertes ;
  • La pool sETH-ETH de Metronome : 1,6 million de dollars de pertes.

Sur Twitter, Vyper a expliqué que le dysfonctionnement était dû au compilateur du langage de programmation, qui avait échoué dans certains cas. Ainsi, les dispositifs de protection contre les attaques par réentrance n'ont pas fonctionné.

Cryptoast Academy : 75% de réduction avant le Black Friday pour fêter le bullrun

Le token CRV chute brutalement

Suite à l'attaque des pools de Curve, le prix du CRV a entamé une rapide chute. Le CRV est passé de 0,70 $ à 0,59 $ en l'espace de seulement 60 minutes, soit une baisse de 16 % environ :

Cours CRV USDT

Évolution du cours du CRV suite à l'attaque

Formez-vous au Web3 et à l'IA avec la Blockchain Business School

Source graphique : TradingView

La Newsletter crypto n°1 🍞

Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌

Ce qu’il faut savoir sur les liens d’affiliation. Cette page peut présenter des actifs, des produits ou des services relatifs aux investissements. Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission. Cela nous permet de continuer à vous proposer des contenus originaux et utiles. Il n'y a aucune incidence vous concernant et vous pouvez même obtenir un bonus en utilisant nos liens.


Les investissements dans les crypto-monnaies sont risqués. Cryptoast n'est pas responsable de la qualité des produits ou services présentés sur cette page et ne pourrait être tenu responsable, directement ou indirectement, par tout dommage ou perte causé suite à l'utilisation d'un bien ou service mis en avant dans cet article. Les investissements liés aux crypto-actifs sont risqués par nature, les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action et n’investir que dans les limites de leurs capacités financières. Cet article ne constitue pas un conseil en investissement.


Recommandations de l'AMF. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital.


Pour aller plus loin, lisez nos pages Situation Financière, Transparence du Média et Mentions Légales.

Subscribe
Me notifier des
guest
0 Commentaires
Inline Feedbacks
View all comments
Voir plus
Tout voir

Cryptoast

Le site qui explique tout de A à Z sur le Bitcoin, la blockchain et les crypto-monnaies. Des actualités et des articles explicatifs pour découvrir et progresser dans ces secteurs !


Les articles les plus lus

Le XRP de Ripple progresse de 24 % suite à l’annonce de la démission prochaine de Gary Gensler

Le XRP de Ripple progresse de 24 % suite à l’annonce de la démission prochaine de Gary Gensler

Une entreprise décide de shorter MicroStrategy : l’action MSTR s’effondre de 25 %

Une entreprise décide de shorter MicroStrategy : l’action MSTR s’effondre de 25 %

Mes 3 indicateurs pour détecter la véritable saison des altcoins – L'analyse de Vincent Ganne

Mes 3 indicateurs pour détecter la véritable saison des altcoins – L'analyse de Vincent Ganne

Les grands magasins Printemps acceptent les cryptomonnaies après une collaboration avec Binance et Lyzi

Les grands magasins Printemps acceptent les cryptomonnaies après une collaboration avec Binance et Lyzi