Attaque majeure des pools de Curve : 41 millions de dollars en cryptomonnaies s'évaporent
Ce dimanche 30 juillet 2023, le monde de la finance décentralisée a été secoué par une attaque majeure exploitant une vulnérabilité dans le langage de programmation Vyper utilisé par plusieurs pools de liquidité du protocole Curve. Comment les attaquants sont-ils parvenus à subtiliser plus de 41 millions de dollars ?
Une faille du langage Vyper en cause
Les attaquants ont exploité une vulnérabilité dans certaines pools de liquidités de Curve, le célèbre protocole de finance décentralisée (DeFi). La vulnérabilité a été retracée jusqu'à Vyper, un langage de programmation alternatif pour les smart contracts d'Ethereum.
En effet, plusieurs des pools de Curve utilisant Vyper ont été exploités, entraînant des pertes estimées à 41 millions de dollars selon la firme de sécurité BlockSec. Dans les faits, les versions 0.2.15, 0.2.16 et 0.3.0 de Vyper se sont avérées vulnérables à une attaque par réentrance.
Concrètement, cela se produit dès lors qu'une fonction d'un smart contract fait un appel externe auprès d'un autre smart contrat non fiable. Ce dernier effectue alors un appel récursif à la fonction d'origine dans le but de drainer des fonds. Comme le smart contrat ne parvient pas à actualiser son état avant d'envoyer des fonds, l'attaquant peut continuellement appeler la fonction de retrait pour drainer les fonds.
D'après une analyse de la firme de sécurité Ancilia, 136 smart contrats utilisaient Vyper 0.2.15, 98 smart contrats utilisaient Vyper 0.2.16 et 226 smart contrats utilisaient Vyper 0.3.0 :
We did a fast run on github.
136 contracts found compiled with vyper 0.2.15 and used reentrant protection;
98 contracts found with 0.2.16 version
226 contracts found with 0.3.0 version— Ancilia, Inc. (@AnciliaInc) July 30, 2023
Ainsi, plusieurs pools ont été complètement drainées de leurs liquidités :
- La pool CRV-ETH de Curve : 14 millions de dollars de pertes
- La pool alETH-ETH d'Alchemix : 13,66 millions de dollars de pertes ;
- La pool pETH-ETH de JPEG'd : 11,4 millions de dollars de pertes ;
- La pool sETH-ETH de Metronome : 1,6 million de dollars de pertes.
Sur Twitter, Vyper a expliqué que le dysfonctionnement était dû au compilateur du langage de programmation, qui avait échoué dans certains cas. Ainsi, les dispositifs de protection contre les attaques par réentrance n'ont pas fonctionné.
Cryptoast Academy : 75% de réduction avant le Black Friday pour fêter le bullrunLe token CRV chute brutalement
Suite à l'attaque des pools de Curve, le prix du CRV a entamé une rapide chute. Le CRV est passé de 0,70 $ à 0,59 $ en l'espace de seulement 60 minutes, soit une baisse de 16 % environ :
Évolution du cours du CRV suite à l'attaque
Formez-vous au Web3 et à l'IA avec la Blockchain Business SchoolSource graphique : TradingView
Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌
Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission.
Les investissements dans les crypto-monnaies sont risqués. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital