Attaque majeure des pools de Curve : 41 millions de dollars en cryptomonnaies s'évaporent

Ce dimanche 30 juillet 2023, le monde de la finance décentralisée a été secoué par une attaque majeure exploitant une vulnérabilité dans le langage de programmation Vyper utilisé par plusieurs pools de liquidité du protocole Curve. Comment les attaquants sont-ils parvenus à subtiliser plus de 41 millions de dollars ?

Attaque majeure des pools de Curve : 41 millions de dollars en cryptomonnaies s'évaporent

Une faille du langage Vyper en cause

Les attaquants ont exploité une vulnérabilité dans certaines pools de liquidités de Curve, le célèbre protocole de finance décentralisée (DeFi). La vulnérabilité a été retracée jusqu'à Vyper, un langage de programmation alternatif pour les smart contracts d'Ethereum.

En effet, plusieurs des pools de Curve utilisant Vyper ont été exploités, entraînant des pertes estimées à 41 millions de dollars selon la firme de sécurité BlockSec. Dans les faits, les versions 0.2.15, 0.2.16 et 0.3.0 de Vyper se sont avérées vulnérables à une attaque par réentrance.

Concrètement, cela se produit dès lors qu'une fonction d'un smart contract fait un appel externe auprès d'un autre smart contrat non fiable. Ce dernier effectue alors un appel récursif à la fonction d'origine dans le but de drainer des fonds. Comme le smart contrat ne parvient pas à actualiser son état avant d'envoyer des fonds, l'attaquant peut continuellement appeler la fonction de retrait pour drainer les fonds.

D'après une analyse de la firme de sécurité Ancilia, 136 smart contrats utilisaient Vyper 0.2.15, 98 smart contrats utilisaient Vyper 0.2.16 et 226 smart contrats utilisaient Vyper 0.3.0 :

Ainsi, plusieurs pools ont été complètement drainées de leurs liquidités :

  • La pool CRV-ETH de Curve : 14 millions de dollars de pertes
  • La pool alETH-ETH d'Alchemix : 13,66 millions de dollars de pertes ;
  • La pool pETH-ETH de JPEG'd : 11,4 millions de dollars de pertes ;
  • La pool sETH-ETH de Metronome : 1,6 million de dollars de pertes.

Sur Twitter, Vyper a expliqué que le dysfonctionnement était dû au compilateur du langage de programmation, qui avait échoué dans certains cas. Ainsi, les dispositifs de protection contre les attaques par réentrance n'ont pas fonctionné.

Cryptoast Academy : 75% de réduction avant le Black Friday pour fêter le bullrun
Publicité

Le token CRV chute brutalement

Suite à l'attaque des pools de Curve, le prix du CRV a entamé une rapide chute. Le CRV est passé de 0,70 $ à 0,59 $ en l'espace de seulement 60 minutes, soit une baisse de 16 % environ :

Cours CRV USDT

Évolution du cours du CRV suite à l'attaque

Formez-vous au Web3 et à l'IA avec la Blockchain Business School
Publicité

Source graphique : TradingView

La Newsletter crypto n°1 🍞

Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌

Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission.


Les investissements dans les crypto-monnaies sont risqués. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital

Subscribe
Me notifier des
guest
0 Commentaires
Inline Feedbacks
View all comments
Voir plus
Tout voir

Cryptoast

Le site qui explique tout de A à Z sur le Bitcoin, la blockchain et les crypto-monnaies. Des actualités et des articles explicatifs pour découvrir et progresser dans ces secteurs !


Les articles les plus lus

« Nous n’avons pas le droit de posséder des bitcoins » : Jerome Powell entraîne la baisse des cryptomonnaies

« Nous n’avons pas le droit de posséder des bitcoins » : Jerome Powell entraîne la baisse des cryptomonnaies

1 milliard de dollars de liquidations : le marché crypto voit rouge

1 milliard de dollars de liquidations : le marché crypto voit rouge

Quelles sont les 3 cryptos qui surperforment le marché ?

Quelles sont les 3 cryptos qui surperforment le marché ?

La perspective d'une réserve stratégique en Bitcoins (BTC) aux États-Unis serait-elle en train de s'effacer ?

La perspective d'une réserve stratégique en Bitcoins (BTC) aux États-Unis serait-elle en train de s'effacer ?