Hack de Curve : le bilan s’alourdit avec 42 millions de dollars siphonnés
Catastrophe sur Curve – Curve est un protocole emblématique de la DeFi sur Ethereum. À sa sortie, il a révolutionné la Finance Décentralisée en proposant des pools de stablecoins à frais réduits. Cependant, celui-ci a été la cible d’un hack d’envergure au cours du weekend.
42 millions de $ dérobés sur Curve Finance
La semaine commence péniblement après un week-end très agité dans la DeFi. Alors qu’une partie des utilisateurs avaient les yeux rivés sur Base, une catastrophe a eu lieu sur Ethereum.
En effet, le 30 juillet, de nombreux pools du protocole Curve ont été exploités. Ainsi, le hacker a découvert une faille et a siphonné la plupart des pools impactés par cette dernière. En pratique, les pools alETH, msETH et pETH ont notamment été touchées.
Bien que le montant exact ne soit pas encore clair, il semblerait que l’attaquant ait réussi à dérober au moins 42 millions de dollars.
De son côté, Curve a déclaré que son stablecoin crvUSD ainsi que les autres pools du protocole n’ont pas été impactés par le hack.
Rapidement, de nombreux développeurs ont tenté de sauver les fonds restants en menant des opérations de white hat. Malheureusement, plusieurs de ces tentatives se sont soldées par un échec et ont été frontrun sur la chaîne.
Heureusement, certaines tentatives n’auront pas été vaines. Effectivement, le white hat « c0ffebabe.eth » a restitué 2 879 ETH, soit 5,4 millions de dollars à l’adresse de Curve Finance.
Après investigation, les développeurs ont découvert une faille reentrancy dans le code. En pratique, celle-ci découle d’une erreur dans le langage de programmation Vyper. Cette erreur est ainsi présente dans les versions 0.2.15, 0.2.16 et 0.3.0 de Vyper.
Pour rappel, Vyper est un langage de programmation pour smart contract. Celui-ci est une alternative à Solidity.
Chute du CRV et risque systémique
Évidemment, le cours du CRV a chuté à la suite à cet événement. Il est passé de 0,72$ à 0,61$ après le hack.
Une aubaine qu’il ne soit pas descendu plus bas. En effet, comme abordé en juin dernier, 290 millions de jetons CRV sont déposés par Michael Egorov, le CEO de Curve, sur le protocole Aave.
Une position de taille, qui a frôlé de très près la liquidation. Une telle liquidation aurait pu avoir un effet cataclysmique sur la DeFi d’Ethereum. En effet, elle aurait pu entraîner des liquidations en chaîne et fragiliser la santé du protocole Aave.
Heureusement, Michael Egorov a rapidement entrepris de rembourser sa dette sur le protocole afin de maintenir son prêt à flot.
Désormais, le protocole Curve Finance tente d’identifier le hacker. En parallèle, ces dernières vont devoir trouver une solution pour rembourser les fonds qui n’ont pas pu être sauvés par des white hats.
Cette nouvelle attaque vient alourdir le bilan des hacks depuis le début de l’année. En effet, selon Chainalysis, la criminalité dans les cryptos était en baisse. Néanmoins, c’est sans compter sur le hack de Multichain et celui de Curve.
En crypto, ne faites pas l’économie de la prudence ! Ainsi, pour conserver vos avoirs cryptographiques à l’abri, la meilleure solution est encore un wallet hardware personnel. Chez Ledger, il y en a pour tous les profils et toutes les cryptos. N’attendez pas pour mettre vos capitaux en sécurité (lien commercial) !
Renaud H.
Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.
