🟠DIRECT - DeFi en état d’alerte maximale : Bilan alourdi pour Curve Finance

Hier, tard dans la soirée, Curve Finance a subi une attaque par réentrée. Les comptes rendus provisoires de ce hack ont fait mention d’une disparition d’environ 26 millions de dollars. Sauf que la nuit fut longue pour l’équipe de Curve, et la liste des casses aussi. À en voir les dernières nouvelles, le montant des sommes dérobées s’élève à 52 millions de dollars.

Panique générale autour du hack de Curve

L’écosystème DeFi pleure en ce moment. Après le signalement d’une attaque majeure sur le protocole Curve, occasionnant la perte d’environ 11 millions de dollars, les choses se sont aggravées.

Update #PeckShieldAlert There are ~$52M exploited so far from @AlchemixFi, @JPEGd_69, @MetronomeDAO,@DebridgeFinance, @Ellipsisfi and #Curve CRV-ETH https://t.co/o1j83HgCB3 pic.twitter.com/OoI6KyL05e

— PeckShieldAlert (@PeckShieldAlert) July 30, 2023

 « Mise à jour #PeckShieldAlerte – Il y a 52 millions de dollars exploités jusqu’à présent à partir de Alchemix, JPEG’d, MetronomeDAO, deBridge, Ellipsis et Curve CRV-ETH. »

Quelque temps auparavant, PeckShield a avancé un total de 26,76 millions de dollars dérobés chez Curve Finance.

D’après BeInCrypto, cette « reentrancy attack » n’a pas seulement affecté les pools stables de Curve. Des dégâts ont également été signalés dans d’autres protocoles DeFi comme Ellipsis (d’énormes pertes en BNB), JPEG’d (11,4 millions de dollars), Alchemix (13,6 millions de dollars), MetronomeDAO (1,6 million de dollars)… L’écosystème dans son ensemble a dégringolé, au point d’afficher une baisse de 2,3 milliards de dollars de sa TVL.

Et pour enfoncer le clou, le CRV a perdu 16 % de sa valeur en 24 heures. Elle s’échangeait à 0,064 dollar au moment de la mise sous presse. Une belle performance par rapport au prix du Curve dimanche à 23h15, 0.59 dollar.

Vyper, le principal fautif

L’attaque de réentrée ayant saigné Curve Finance n’aurait pas eu lieu si Viper a assuré sa mission. Ce langage de smart contracts intelligent Pythonic pour l’EVM a présenté des vulnérabilités au point d’autoriser ces lourdes pertes.

A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.

Other pools are safe. https://t.co/eWy2d3cDDj

— Curve Finance (@CurveFinance) July 30, 2023

« Un certain nombre de stablepools (alETH/msETH/pETH) utilisant Vyper 0.2.15 ont été exploités en raison d’un dysfonctionnement du verrou de réentrée. Nous évaluons la situation et informerons la communauté au fur et à mesure ».

Les autres pools restent sûrs. »

« PSA : Les versions 0.2.15, 0.2.16 et 0.3.0 de Vyper sont vulnérables à un mauvais fonctionnement de verrous de réentrance. L’enquête est en cours mais tout projet reposant sur ces versions doit immédiatement nous contacter. »

CoinPedia, qui a repris les résultats d’une enquête menée par Ancilia, avance ces détails :

• 136 contrats intelligents utilisaient Vyper 0.2.15 ;
• 98 d’entre eux sont déployés sur Vyper 0.2.16 ;
• Et 226 smart contracts sur Vyper 0.3.0.

Tout cela provient d’un verrou de réentrée défectueux propice à des transferts massifs et simultanés à partir d’autres protocoles DeFi.

Le mal est fait. Et personne n’a appris des leçons de l’attaque de réentrée d’EraLend ayant occasionné plusieurs millions de dollars volés.

Curve Finance sauvé par des pirates « White hat »

Certains analystes avancent que l’attaque de Curve peut aller au-delà de 70 millions de dollars. Si une majorité de ce pactole se trouve en ce moment entre les mains de gens mal intentionnés, certains des fonds ont été récupérés par des bons pirates, les « whitehats », et des « bots de MEV.

Un hacker whitehat titulaire de l’adresse « cOffeebabe.eth » a affirmé avoir retourné 2 879 ETH (5,4 millions de dollars) à l’adresse de déploiement signalé par Curve.

Mais cette noble initiative, couplée à une stabilité des contrats crvUSD, ne stoppera pas l’hémorragie de Curve Finance qui a enregistré 32 millions de jetons CRV de pertes.

Beaucoup de questions se posent en ce moment en dépit des tentatives de réparation, un peu tardives, du PDG de Curve Finance. Michel Egorov a en effet rattrapé la maladresse de son équipe en remboursant 4,63 millions d’USDT et en déposant 16 millions de CRV sur Aave. En ce moment, il serait endetté de 59,68 millions d’USDT sur Aave, avec un taux de santé de 1,69, souligne Metaverse Post.

Dans tout cela, l’attitude des pirates white hat est louable. Comme la dernière fois, Binance et les autres exchanges pourront également tendre la main afin d’éviter une DeFi exsangue. Au moins il gèleront les avoirs volés chez Curve Finance.