Curve Finance – La chasse au hacker est ouverte !

Le principal feuilleton de cet été dans le secteur de la DeFi est sans aucun doute possible l’attaque du protocole Curve Finance. Une opération à l’origine de pertes colossales, estimées à plus de 73 millions de dollars au total. Le tout avec comme victimes collatérales les projets JPEGd, Metronome et Alchemix dont certains pools de liquidité ont également été intégralement vidés. Mais Curve Finance (CRV) n’allait pas en rester là.

En effet, la principale technique pour minimiser les risques d’attaques dans le secteur de la DeFi est devenue assez étrange. Car elle consiste la plupart du temps à demander aux hackers de restituer les fonds une fois qu’ils ont été volés, en allégeant toutefois cette facture d’une prime de bug rétroactive. Une proposition, plus proche de la menace, effectuée par Curve Finance avec une taxe de hacking fixée à 10%, soit environ 7 millions de dollars. Mais de toute évidence le hacker n’a pas joué le jeu…

Finance Décentralisée (DeFi)

Attaque Curve - Plus de 40M$ envolés et des validateurs qui se gavent

Hugh B. - 31 Juil 2023 - 11:00

Difficile week-end pour le secteur de la DeFi. En effet, une attaque de grande [...]

Lire la suite >>

Curve Finance – Date limite de restitution dépassée

Tout semblait se dérouler selon les instructions imposées par le protocole Curve Finance. Cela même si son attaquant, dans un sursaut de fierté mal placée, expliquait effectuer ce remboursement « non pas parce que vous pouvez me trouver, mais parce que je ne veux pas ruiner votre projet ».

Une manière de garder la tête haute pendant qu’il se soumettait à la meilleure option de résolution possible : conserver 10% de la fortune extraite des différents pools de Curve concernés par cette attaque d’envergure.

Avec en premier lieu une restitution de l’intégralité des cryptomonnaies dérobées dans le pool alETH-ETH du projet Alchemix, soit la bagatelle de 22 millions de dollars (plus de 12 000 ETH). Puis, dans un deuxième temps, la somme de 11,5 millions de dollars (5 495 ETH) correspondant à 90% du total détourné du pool pETH-ETH de la plateforme JPEGd. Et pour finir un retour à l’envoyeur des fonds vidangés du pool sETH-ETH de Metronome et du pool principal CRV-ETH de Curve Finance, soit environ 7 millions de dollars.

Stablecoins et MNBC

Curve - Test officiel de son stablecoin crvUSD

Hugh B. - 02 Mai 2023 - 15:30

Le protocole Curve avait annoncé sa prochaine sortie en septembre de l'année [...]

Lire la suite >>

Une procédure de retour qui aura donc permis de récupérer 53 millions de dollars au total, soit 73% des fonds volés. Mais… il manque toujours 18,5 millions de dollars à l’appel !

« La date limite pour le retour volontaire des fonds dans l’exploit Curve est passée à 08:00 UTC. Nous étendons maintenant la prime au public et offrons une récompense évaluée à 10% des fonds exploités restants (actuellement 1,85 million de dollars US) à la personne qui est capable d’identifier l’exploiteur d’une manière qui conduit à une condamnation devant les tribunaux. Si l’exploiteur choisit de restituer l’intégralité des fonds, nous n’irons pas plus loin. »

Curve Finance

Hack Curve Finance – « Désolé, j’ai fait une erreur… »

Car étant donné que la date limite est dépassée, le bug bounty rétroactif de 10% n’est plus valable. Et de ce fait le hacker devient à nouveau redevable de l’intégralité des fonds dérobés, même s’il en a déjà restitué 73%. Raison pour laquelle la somme restant due est fixée à 18,5 millions de dollars et non pas 11 millions de dollars (une fois ses frais de 10% prélevés).

Une situation étrange puisque le hacker semblait avoir décidé de jouer le jeu. Car quel intérêt de restituer plus de 70% des fonds volés si ce n’est pas pour toucher la récompense proposée sans avoir à risquer de conséquences judiciaires. La raison est peut-être très simple. Cet exploiteur de faille pourrait ne pas être aussi malin qu’il le prétendait…

Cryptomonnaies

Criminalité crypto - En baisse de 65%, sauf pour les ransomwares

Hugh B. - 13 Juil 2023 - 14:00

Le secteur des cryptomonnaies est un laboratoire d'expérimentation en temps [...]

Lire la suite >>

En effet, l’adresse dédiée à cette affaire par Curve Finance sur le réseau Ethereum a reçu un étrange message il y a quelques heures. Le tout en provenance d’une adresse « signalée comme étant impliquée dans une tentative d’exploit sur JPEG. » Serait-ce le hacker en mode retardataire ?

« Désolé, j’ai fait une erreur, comme vous pouvez le voir, ma transaction a échoué, si ma transaction réussit, je la retournerai.« 

Exploit Attempter (JPEGd_69)

Serait-ce donc le signe d’une possible résolution de ce problème à l’amiable, même si la deadline est effectivement dépassée ? Il faudra attendre le retour officiel de Curve Finance pour connaître le fin mot de cette histoire. Ou la poursuite des hostilités afin d’identifier ce hacker décidément bien difficile à comprendre…

Découvrez le monde passionnant des cryptomonnaies sur la plateforme Bybit ! Accumulez et tradez vos premiers bitcoins et ethereum en toute sécurité, tout en bénéficiant d’une réduction à vie sur vos frais de trading. (lien commercial)