Dimanche dernier, une secousse a ébranlé le monde de la finance décentralisée (DeFi) avec une attaque majeure ciblant les pools de liquidité du protocole Curve. Les attaquants ont exploité une faille dans le langage de programmation Vyper, entraînant des pertes considérables estimées à 52 millions de dollars. Cette attaque a eu des répercussions majeures sur l’écosystème DeFi, touchant plusieurs projets importants.
Le langage de programmation Vyper compromet le protocole DeFi Curve
Le dimanche 30 juillet 2023, le monde de la finance décentralisée a été violemment secoué par une attaque dévastatrice, entraînant d’importantes pertes pour les utilisateurs du protocole Curve, atteignant un total de 52 millions de dollars.
L’attaque s’est déroulée en deux phases bien distinctes :
Dans la première phase, plusieurs projets DeFi tels que JPEG’d, Alchemix et MetronomeDAO ont été ciblés, entraînant des pertes d’environ 26 millions de dollars.
La deuxième phase a visé spécifiquement un pool de liquidités de Curve, CRV-ETH, où les attaquants ont vidé 7,1 millions de CRV et 7 680 éthers.
Après une enquête, les développeurs ont découvert une faille dans le langage de programmation Vyper. En effet, les versions 0.2.15, 0.2.16 et 0.3.0 de Vyper ont montré des vulnérabilités qui ont permis aux assaillants de détourner de façon constante les fonds des pools vulnérables.
D’après l’analyse effectuée par Ancilia, 136 smart contracts utilisaient la version 0.2.15 de Vyper, 98 utilisaient la version 0.2.16 et 226 utilisaient la version 0.3.0. Ce qui explique l’ampleur des préjudices subis.
Dans un message publié sur Twitter, Vyper a expliqué que la défaillance était liée au compilateur du langage de programmation, qui avait connu des échecs dans certaines situations….
Un hacker éthique intervient et sauve 5.4 millions de $
Après l’attaque, des hackers éthiques, également appelés « whitehats », sont intervenus pour tenter de récupérer une partie des fonds.
Un opérateur de bot MEV, « c0ffeebabe.eth », a surpris l’écosystème DeFi en récupérant 2 879 ETH, équivalant à environ 5,4 millions de dollars.
Grâce à lui, le montant total des pertes est ainsi « uniquement » de 46,5 millions de dollars.
Suite à l’attaque des pools de Curve, le token natif de la plateforme, le CRV, a subi une baisse de valeur d’environ 18 % en 24 heures, avec un prix passant de 0,70 $ à 0,59 $. Le protocole Curve a cependant assuré que l’attaque n’a pas affecté son stablecoin crvUSD ainsi que les autres pools du protocole.
Bien que le hacker éthique ait fait des efforts pour récupérer ces fonds, les pertes demeurent significatives et le montant perdu reste considérable. Cette attaque met en évidence l’urgence de renforcer la sécurité dans l’écosystème DeFi afin de prévenir de telles pertes à l’avenir. Et qu’au final, le meilleur endroit pour conserver ses actifs reste hors des protocoles, dans un cold wallet.
Journaliste chez Coinpri, j’ai été captivé par l’univers du bitcoin et de la blockchain dès 2020. L’aspect décentralisé du Bitcoin a particulièrement éveillé mon intérêt. Depuis lors, je m’emploie constamment à diffuser mes connaissances, espérant voir un jour un monde où chacun profite pleinement de sa liberté financière.
