Curve Finance – La chasse au hacker est ouverte !
Dans le secteur de la DeFi, tout ne se passe pas toujours comme prévu. Une règle à laquelle s’est récemment heurté le protocole Curve Finance, désormais inscrit au Panthéon de cet écosystème suite à une vidange de piscine (pool) estimée à plus de 73 millions de dollars. Pourtant, cette affaire aurait pu trouver sa résolution dans une restitution de 90% des fonds volés par le hacker avant la date limite fixée au 6 août dernier. Mais à l’heure fatidique, il manquait toujours 19,7 millions de dollars à l’appel. Raison pour laquelle une prime de 1,85 millions de dollars est promise à celui ou celle qui saura initier son arrestation effective.
07 août 2023 - 15:30
Temps de lecture : 3 minutes
Par Hugh B.
Le principal feuilleton de cet été dans le secteur de la DeFi est sans aucun doute possible l’attaque du protocole Curve Finance. Une opération à l’origine de pertes colossales, estimées à plus de 73 millions de dollars au total. Le tout avec comme victimes collatérales les projets JPEGd, Metronome et Alchemix dont certains pools de liquidité ont également été intégralement vidés. Mais Curve Finance (CRV) n’allait pas en rester là.
En effet, la principale technique pour minimiser les risques d’attaques dans le secteur de la DeFi est devenue assez étrange. Car elle consiste la plupart du temps à demander aux hackers de restituer les fonds une fois qu’ils ont été volés, en allégeant toutefois cette facture d’une prime de bug rétroactive. Une proposition, plus proche de la menace, effectuée par Curve Finance avec une taxe de hacking fixée à 10%, soit environ 7 millions de dollars. Mais de toute évidence le hacker n’a pas joué le jeu…
Curve Finance – Date limite de restitution dépassée
Tout semblait se dérouler selon les instructions imposées par le protocole Curve Finance. Cela même si son attaquant, dans un sursaut de fierté mal placée, expliquait effectuer ce remboursement « non pas parce que vous pouvez me trouver, mais parce que je ne veux pas ruiner votre projet ».
Une manière de garder la tête haute pendant qu’il se soumettait à la meilleure option de résolution possible : conserver 10% de la fortune extraite des différents pools de Curve concernés par cette attaque d’envergure.
Avec en premier lieu une restitution de l’intégralité des cryptomonnaies dérobées dans le pool alETH-ETH du projet Alchemix, soit la bagatelle de 22 millions de dollars (plus de 12 000 ETH). Puis, dans un deuxième temps, la somme de 11,5 millions de dollars (5 495 ETH) correspondant à 90% du total détourné du pool pETH-ETH de la plateforme JPEGd. Et pour finir un retour à l’envoyeur des fonds vidangés du pool sETH-ETH de Metronome et du pool principal CRV-ETH de Curve Finance, soit environ 7 millions de dollars.
Une procédure de retour qui aura donc permis de récupérer 53 millions de dollars au total, soit 73% des fonds volés. Mais… il manque toujours 18,5 millions de dollars à l’appel !
« La date limite pour le retour volontaire des fonds dans l’exploit Curve est passée à 08:00 UTC. Nous étendons maintenant la prime au public et offrons une récompense évaluée à 10% des fonds exploités restants (actuellement 1,85 million de dollars US) à la personne qui est capable d’identifier l’exploiteur d’une manière qui conduit à une condamnation devant les tribunaux. Si l’exploiteur choisit de restituer l’intégralité des fonds, nous n’irons pas plus loin. »
Curve Finance
Hack Curve Finance – « Désolé, j’ai fait une erreur… »
Car étant donné que la date limite est dépassée, le bug bounty rétroactif de 10% n’est plus valable. Et de ce fait le hacker devient à nouveau redevable de l’intégralité des fonds dérobés, même s’il en a déjà restitué 73%. Raison pour laquelle la somme restant due est fixée à 18,5 millions de dollars et non pas 11 millions de dollars (une fois ses frais de 10% prélevés).
Une situation étrange puisque le hacker semblait avoir décidé de jouer le jeu. Car quel intérêt de restituer plus de 70% des fonds volés si ce n’est pas pour toucher la récompense proposée sans avoir à risquer de conséquences judiciaires. La raison est peut-être très simple. Cet exploiteur de faille pourrait ne pas être aussi malin qu’il le prétendait…
En effet, l’adresse dédiée à cette affaire par Curve Finance sur le réseau Ethereum a reçu un étrange message il y a quelques heures. Le tout en provenance d’une adresse « signalée comme étant impliquée dans une tentative d’exploit sur JPEG. » Serait-ce le hacker en mode retardataire ?
« Désolé, j’ai fait une erreur, comme vous pouvez le voir, ma transaction a échoué, si ma transaction réussit, je la retournerai.«
Exploit Attempter (JPEGd_69)
Serait-ce donc le signe d’une possible résolution de ce problème à l’amiable, même si la deadline est effectivement dépassée ? Il faudra attendre le retour officiel de Curve Finance pour connaître le fin mot de cette histoire. Ou la poursuite des hostilités afin d’identifier ce hacker décidément bien difficile à comprendre…
Découvrez le monde passionnant des cryptomonnaies sur la plateforme Bybit ! Accumulez et tradez vos premiers bitcoins et ethereum en toute sécurité, tout en bénéficiant d’une réduction à vie sur vos frais de trading. (lien commercial)
Restons connectés
7,831 followers
17,800 followers
136,000 followers
1,246 followers