Curve Finance a perdu 50 millions de dollars tandis que le jeton CRV a chuté de 12 % dans le dernier exploit DeFi

Curve, un échange de stablecoin au cœur de la Finance décentralisée (DeFi) sur Ethereum, a été victime d'un exploit selon un tweet du projet.

Curve s'appuie sur des contrats intelligents plutôt que sur des intermédiaires pour proposer des services financiers tels que l'emprunt, le trading et le prêt de stablecoins à ses utilisateurs. Les déposants sur Curve perçoivent des rendements annuels allant jusqu'à 4 % grâce à ONEun des nombreux pools de la plateforme.

Plus de 100 millions de dollars de Cryptomonnaie sont menacés par un bug de « réentrance » dans Vyper, un langage de programmation utilisé pour alimenter certaines parties du système Curve. Plusieurs pools de stablecoins de la plateforme, utilisés pour la tarification et la liquidité de différents services DeFi, ont déjà été vidés par des pirates informatiques.

« En raison d'un problème dans le compilateur Vyper dans les versions 0.2.15-0.3.0, les pools suivants ont été piratés : CRV/ ETH, aleth/ ETH, mseth/ ETH, peth/ ETH», a tweeté Curve lundi.

La réentrance est un bug courant qui permet aux attaquants de tromper un contrat intelligent en effectuant des appels répétés à un protocole afin de voler des actifs. Un appel autorise l'adresse du contrat intelligent à interagir avec l'adresse du portefeuille d'un utilisateur.

D’autres projets utilisant le langage de programmation Vyper pourraient partager la même vulnérabilité.

Au moment de la mise sous presse, le montant des pertes subies par Curve suite à l'attaque n'était pas encore connu. BlockSec, un cabinet d'audit spécialisé dans la blockchain, a estimé les pertes totales à plus de 42 millions de dollars dans une analyse préliminaire publiée sur Twitter. Tarun Chitra, PDG et fondateur de Gauntlet, une société de modélisation des risques Crypto , a estimé que l'exploiteur avait dérobé environ 20 millions de dollars en CRV et une version d'Ether.

Curve exploite 232 pools différents, selon son site Web, mais seuls les pools utilisant les versions Vyper 0.2.15, 0.2.16 et 0.3.0 sont à risque, a déclaré mimaklas, membre de l'équipe dans une annonce Discord.

Mimaklas a également déclaré que « tous les pools affectés ont été vidés ou piratés en blanc, et l'équipe évalue la situation avec les équipes affectées ».

Par ailleurs, le protocole de prêt et d'emprunt Aave a désactivé sa fonction d'emprunt CRV dans un contexte de panique. Une dette CRV colossale de 100 millions de dollars du fondateur de Curve, Michael Egorov, sur Aave est en voie de liquidation. Si les prix des CRV devaient continuer à augmenter et atteindre le seuil de liquidation, les protocoles devront liquider les positions CRV .

Whitehat envoie des fonds ; CRV coule

Curve Finance a réussi à récupérer une partie de son argent grâce à l'opérateur de bot « coffeebabe. ETH», qui a reversé 2 879 ETH à la plateforme, soit près de 5,5 millions de dollars au cours actuel. Ces fonds ont été dérobés de manière éthique au pirate informatique en anticipant sa transaction malveillante.

Le braquage a déstabilisé les Marchés du jeton CRV natif de Curve DAO, qui était en baisse de 17 % sur la journée, à 0,61 $ au moment de la publication. Cette fluctuation des prix a menacé d' Compound le chaos en forçant potentiellement le fondateur de Curve à liquider sa position d'emprunt de 70 millions de dollars sur Aave.

Pendant ce temps, la valeur totale des actifs bloqués sur Curve a chuté à 1,7 milliard de dollars lundi, contre plus de 3 milliards de dollars dimanche, selon le fournisseur de données DeFiLlama, car les capitaux des investisseurs ont probablement fui la bourse.

MISE À JOUR (30 juillet 2023, 21h25 UTC) :Ajoute des informations supplémentaires.

MISE À JOUR (30 juillet 2023, 09h30 UTC) : Mises à jour avec les derniers commentaires de Curve, les effets de contagion sur Aave, la baisse de la valeur de Curve DeFi et explique l'attaque de réentrance.