Plus de 40 millions de dollars de pertes dans le piratage de Curve Finance

Un préjudice estimé à plus de 40 millions de dollars

C’est le résultat d’un piratage survenu ce week-end sur le protocole Curve Finance. 46,5 millions de dollars ont été dérobés des smarts contracts de la plateforme suite à une attaque survenue en deux étapes.

La première partie du hack est directement liée à une vulnérabilité découverte dans le langage de programmation “Vyper”. Cela a engendré un dysfonctionnement dans la fonction de ré-entrer dans les pools de Curve. Plus de 26 millions de dollars ont été perdus suite à cet incident.

La seconde partie du hack est survenue directement après, avec un siphonnage de plusieurs pools de Curve Finance, dont CRV/ETH, ALETH/ETH, MSETH/ETH, PETH/ETH. La pool “tricrypto”, sur Arbitrum, est également considérée comme potentiellement risquée. Curve Finance invite les investisseurs concernés à retirer leurs jetons.

La totalité du piratage est estimée à près de 47 millions de dollars. À noter que les pools concernées ont été développés avec les anciennes versions 0.2.15, 0.2.16 et 0.3.0 de Vyper. Les nouvelles versions sont-elles considérées comme sécurisées et ne sont pas concernées par cette vulnérabilité. 

Cependant, dans cette tempête, une petite éclaircie s’est laissée entrevoir.

Un pirate informatique restitue plus de 5 millions de dollars à Curve Finance

Il s’agit d’un petit rayon de soleil au travers des nuages très sombres causés par cet exploit d’envergure. Un pirate dit “éthique”, du nom de c0ffeebabe.eth, est parvenu à contrecarrer les actions malveillantes d’un autre hacker. Il a réussi à récupérer 2 789 ETH soit l’équivalent d’environ 5,4 millions de dollars. Ces fonds correspondaient à ce qui restait de la pool ETH/CRV. 

Ce bon samaritain est un opérateur de bot MEV. Il a exploité la même vulnérabilité que les pirates mais a utilisé son bot pour se positionner en tête de file. Il a donc effectué un “front run”. Il a dérobé les fonds en priorisant sa transaction de manière à ce que la transaction du hacker malveillant se retrouve sans aucune liquidité à récupérer. La totalité des fonds concernés a été restituée directement auprès de Curve Finance. 

DefiLlama, une plateforme d’analyse de données on-chain s’est également interrogée sur l’impact des réseaux sociaux dans ce désastre financier. 

En effet, certaines plateformes d’audit ont révélé les versions de Vyper concernées par cette vulnérabilité. Cela a permis d’orienter les hackers directement vers les pools ayant le dysfonctionnement. Ils se demandent alors combien de pools auraient pu être sauvés si cette information n’avait pas été transmise sur les réseaux. 

Des conséquences importantes pour le protocole 

À l’écriture de ces lignes, plus de 47 millions de dollars ont été dérobés des pools de Curve Finance. Ces fonds appartiennent à des investisseurs qui jouaient le rôle de fournisseurs de liquidité. 

Au-delà de ce piratage, d’autres personnes malveillantes en ont profité pour usurper l’identité de Curve Finance et ainsi procéder à des arnaques phishing. Ils ont notamment publié des programmes de remboursement sur Twitter/X. Curve Finance n’a mis en place aucune procédure de ce type pour le moment. 

Les effets de ce piratage ont été immédiats pour Curve. Tout d’abord, leur jeton “CRV” a connu une baisse brutale, passant de 0,74 $ à 0,59 $. Selon les données de DefiLlama, la Total Value Locked (TVL) de 3,2 milliards de dollars à 1,7 milliard de dollars. Pour rappel, la TVL correspond à la valeur des actifs présents dans les protocoles de Curve Finance.

Cet événement a soumis l’entièreté de l’écosystème de la finance décentralisée à un stress test. Il nous rappelle que même les protocoles considérés comme les plus fiables peuvent être sujets à des piratages. Nous tâcherons de vous tenir informer de la suite donnée à cet événement.