Attaque Curve – Plus de 40M$ envolés et des validateurs qui se gavent

Ce début de semaine sent la gueule de bois dans le secteur de la DeFi. Pourtant il est possible de dire sans trop de mauvais humour que l’une des principales activités de cet écosystème se résume bien (trop) souvent à se faire dépouiller à intervalles réguliers. Avec une facture pour 2022 estimée à plusieurs milliards de dollars au total, sous la forme d’un nouveau record historique dans le domaine. Et des hacks dont les montants se chiffrent dorénavant en dizaines de millions de dollars, comme dans le récent cas de Curve Finance.

Une situation qui n’a finalement rien de véritablement surprenante, si ce n’est le fait qu’elle concerne dans le cas présent un protocole emblématique de cette économie décentralisée de la DeFi. Car les spécialistes de la sécurité s’accordaient tous au début de l’année pour affirmer une poursuite de cette tendance auto-destructrice pour 2023, portée par des développeurs « trop occupés à coder. » Et de toute évidence, ce scénario pessimiste semble bien parti pour se concrétiser sous nos yeux…

Finance Décentralisée (DeFi)

Ethereum vs DeFi - Le staking d'ETH fait de l'ombre aux jetons "blue-chip"

Hugh B. - 02 Juin 2023 - 11:00

La partie de chaises musicales qui caractérise le secteur des cryptomonnaies [...]

Lire la suite >>

Curve Finance – Un « bug de réentrance » lié à Vyper

Tout à débuté ce dimanche 30 juillet en fin d’après-midi. Avec comme première alerte officielle, un message du compte Vyper sur le réseau X, en charge de ce langage de programmation dédié aux smart contracts. En cause, une vulnérabilité détectée sur les versions 0.2.15, 0.2.16 et 0.3.0 liées à un « dysfonctionnement des verrous de réentrance. » Le tout suivi d’un avertissement explicite, mais visiblement déjà trop tardif, indiquant que « tout projet s’appuyant sur ces versions doit (les) contacter immédiatement. »

Un message partagé à peine une minute plus tard par le protocole Curve Finance. Cela au sujet d’une exploitation de cette faille impliquant ce même bug de Vyper et le siphonnage en cours d’un « certain nombre de ses stablepools. » Le tout agrémenté d’une « evaluation de la situation » qui s’avèrera rapidement désastreuse.

« Un certain nombre de stablepools (alETH/msETH/pETH) utilisant Vyper 0.2.15 ont été exploités à la suite d’un dysfonctionnement du verrou de réentrance. Nous évaluons la situation et mettrons à jour la communauté au fur et à mesure que les choses évoluent. Les autres pools sont sûrs. »

Curve Finance

Dans les faits, ce bug de réentrance est une vulnérabilité qui a déjà été exploitée à plusieurs reprises dans le cadre d’autres attaques de protocoles de la DeFi. Avec comme procédure impliquée, une faille de sécurité dans le processus d’appel externe d’un smart contract. En effet, cette procédure est interrompue puis rappelée avant son achèvement effectif. Avec comme conséquence directe, la possibilité de vider intégralement les pools concernés de toutes les cryptomonnaies qu’ils contiennent. Et de toute évidence, le pirate ne s’est pas privé…

Finance Décentralisée (DeFi)

Curve (CRV)- 600 000$ détournés dans une attaque frontend

Hugh B. - 10 Août 2022 - 11:00

Les attaques sont de saison en cette période estivale. Et ces dernières ne [...]

Lire la suite >>

Attaque Curve Finance – Plus de 40 millions de dollars envolés

Puis est venu le temps des estimations en direct afin de savoir combien l’attaquant était en train de détourner sous les yeux des observateurs impuissants. Avec un premier montant tout d’abord estimé à plus de 20 millions de dollars. Mais rapidement ce chiffre a explosé pour finalement s’établir à plus de 41 millions de dollars, selon les données de la structure d’audit dédiée aux smart contracts BlockSec.

Une société de sécurité à laquelle certains spécialistes du domaine sont venus reprocher d’avoir communiqué publiquement sur cette faille, alors même que l’incident était en cours. Mais selon les déclarations de BlockSec l’avertissement émis sur un « canal de confiance » deux heures avant l’attaque n’aurait pas permis de l’éviter. Car selon ces derniers « les attaquants ont également localisé le même problème et lancé l’attaque avec succès. » Et de toute manière, toujours selon BlockSec, les développeurs de Curve auraient finalement répondu être déjà au courant mais « ne pas avoir été assez rapides » pour éviter cette catastrophe.

Et finalement l’attaque s’est déroulée sans encombres… pour le hacker. En effet, la seule communication de Curve en mesure de garantir que cette opération était terminée a visiblement eu lieu sur son compte Discord officiel. Cela au sujet de la vidange totale et terminée de tous les pools de liquidité concernés et de la sécurité promise à propos de tous ceux qui restent en activité.

Régulation

UE - Le Parlement européen souhaite réglementer les smart contracts

Hugh B. - 15 Mars 2023 - 13:30

La réglementation du secteur des cryptomonnaies est au centre des [...]

Lire la suite >>

Pourtant, certaines données semblent permettre de craindre le pire. En effet, ce bug de réentrance inscrit dans le code Vyper pourrait également toucher d’autres protocoles. Et de toute évidence, certains copycats sont déjà à l’oeuvre sur la BNB Chain avec plus de 70 000$ détournés selon les données de BlockSec.

Ethereum – Les validateurs se gavent avec les fonds volés

Puis après la panique et la colère vient le moment du bilan à tête plus reposée. Une procédure pourtant également polémique dans le cas de cette attaque d’envergure du protocole Curve Finance. Car les esprits s’échauffent maintenant à propos d’un nouveau record pour le réseau Ethereum au sujet d’une récompense de bloc record en lien à cette affaire.

En effet, selon les données publiées sur X par le compte eric.eth, la journée du 30 juillet aura vu apparaître « certains des plus grands blocs de récompense MEV de l’histoire d’Ethereum. » Avec un record historique désormais fixé à 584 ETH, soit plus d’un million de dollars à lui seul. Le problème ? Les fonds utilisés afin de payer les validateurs concernés proviennent directement de l’attaque de Curve Finance.

En effet, cette situation pose de toute évidence une question nécessaire de moralité, vis-à-vis des victimes de cette attaque… et même au-delà. Car comment justifier ces fortunes versées aux validateurs lorsqu’elles sont issues de transactions très clairement identifiées comme liées à une attaque de ce type ? Ces derniers pouvant très bien décider de restituer les sommes perçues, en retirant éventuellement la part impliquée par les coûts d’exploitation de leurs nœuds…

Une situation d’autant plus choquante si l’on considère que dans le même temps des hackers « whitehat » se sont lancés dans une opération de récupération des fonds visiblement elle aussi débutée trop tard. Car selon les dernières informations publiés par le compte X du nom de Banteg, « un pool crv/eth a été vidangé quelques minutes auparavant. » Autant dire que la partie était de toute évidence perdue d’avance…

Découvrez le monde passionnant des cryptomonnaies sur la plateforme Bybit ! Accumulez et tradez vos premiers bitcoins et ethereum en toute sécurité, tout en bénéficiant d’une réduction à vie sur vos frais de trading. (lien commercial)