Hack de Curve (CRV) : 70 % des fonds restitués par le pirate
Curve bientôt au bout du tunnel ? La semaine dernière, le protocole Curve Finance a été la cible d’un hack d’envergure. Désormais, les équipes du protocole ont engagé des négociations avec le hacker, espérant trouver un arrangement à l’amiable.
Retour sur le hack de Curve Finance
Le 30 juillet dernier, le protocole Curve Finance a subi une attaque massive sur plusieurs pools de liquidités. L’attaque a été possible à causde d’une faille dans le langage de programmation Vyper. Pour rappel, Vyper est un langage permettant la création de smart contracts.
Peu après l’attaque sur Curve, la faille a également été utilisée pour exploiter d’autres protocoles, tels qu’Alchemix, JPEGd ou Metronome. Au total, ce sont plus de 73 millions de dollars qui ont été dérobés via l’usage de cette faille.
Une partie des fonds déjà restituée
Le 3 août, les équipes des différents protocoles impactés ont entrepris des négociations avec le hacker. Ces dernières lui ont proposé une récompense de bug bounty à hauteur de 10 % des fonds dérobés, soit près de 7 millions de dollars.
Finalement, le 4 août, nous avons appris qu’un accord entre le hacker et Alchemix avait été conclu. Celui-ci a conduit au remboursement de 2 259 ETH et 4 819 alETH, soit 12 millions de dollars.
En parallèle, le bot de MEV qui avait frontrun le hack de la pool pETH-ETH sur le protocole JPEGd a restitué 90 % des fonds dérobés. Enfin, le hacker éthique « c0ffeebabe.eth » a restitué 6 millions de dollars au protocole Metronome.
Curve toujours en attente de l’ensemble des fonds
Malheureusement, cela ne se passe pas aussi bien pour le protocole Curve. En effet, ce dernier a effectué une proposition de bug bounty au hacker. Celle-ci était accompagnée d’une date limite à partir de laquelle Curve se tournerait vers la justice.
Une fois cette date limite passée, les équipes de Curve ont annoncé une récompense de 1,85 million de dollars à quiconque serait en mesure d’identifier le hacker afin de l’amener devant la justice.
« La date limite pour le retour volontaire des fonds dans le cadre de l’exploit Curve a été dépassée à 08 : 00 UTC. Nous étendons maintenant la prime au public et offrons une récompense d’une valeur de 10 % des fonds exploités restants (actuellement 1,85 million de dollars américains) à la personne qui sera en mesure d’identifier le hacker d’une manière qui conduira à une condamnation par les tribunaux. »
Curve
Désormais, la balle est dans le camp du hacker, qui a toujours la possibilité de continuer de restituer les fonds.
De son côté, le CEO de Curve n’a eu d’autre choix que de vendre des jetons CRV en gré à gré afin de rembourser des prêts DeFi qui approchaient dangereusement de la liquidation.
En crypto, ne faites pas l’économie de la prudence ! Ainsi, pour conserver vos avoirs cryptographiques à l’abri, la meilleure solution est encore un wallet hardware personnel. Chez Ledger, il y en a pour tous les profils et toutes les cryptos. N’attendez pas pour mettre vos capitaux en sécurité (lien commercial) !