Ethereum : 1,2 million de $ dérobés sans effort en attaquant Curve Finance

Le célèbre protocole de Finance Décentralisée (DeFi) Curve Finance a subi ce soir une attaque importante. Il est demandé aux utilisateurs de ne pas interagir avec la plateforme avant nouvel ordre.

Une attaque sur Curve Finance

Des premières informations disponibles et communiquées par l’équipe de Curve Finance, il semblerait que le frontend du site officiel (la partie visible publiquement) ait été compromis. L’attaque pourrait avoir pris la forme d’un ‘« DNS spoofing« , autrement dit d’un détournement des DNS permettant de rerouter le trafic vers un site miroir malicieux.

Ce sont plus de 570 000$ qui ont déjà été détournés (mouvements observables sur cette adresse, en cours de redistribution vers des exchanges au moment de la rédaction.

Mise à jour du 10/08 à 13h.

Une attaque de DNS

Au fil des années, Curve Finance a acquis une certaine notoriété en proposant des smart contracts robustes. Jusqu’à présent, ses contrats restent inviolés. 

Cependant, la robustesse de ses contrats n’aura pas empêché un attaquant de trouver une autre porte d’entrée pour accéder aux fonds des utilisateurs. 

Comme nous venons de le voir, ce ne sont pas les smart contracts du protocole qui ont été compromis. 

En effet, comme initialement envisagé par Curve Finance, le protocole a été victime d’une attaque dite d’usurpation DNS

En pratique, le DNS, ou Domain Name Service, est un service informatique qui a pour mission de faire le lien entre un nom de domaineici curve.fi – et l’adresse IP du serveur hébergeant le site internet. 

Lors de son offensive, l’attaquant a été en mesure de modifier l’enregistrement DNS. Cette modification lui a permis de renvoyer les utilisateurs vers une copie conforme du site de Curve Finance. Cependant, cette copie comportait des demandes d’approbations malveillantes permettant d’accéder aux fonds des utilisateurs s’y connectant par mégarde. 

Résultat, l’adresse de l’attaquant a pu dérober l’équivalent de 1,2 million de dollars répartis de la manière suivante : 

  • 362 ETH, soit 613 984 $ ; 
  • 606 000 USDC
  • 6 000 DAI
Cryptomonnaies ayant transités par l'adresse de l'attaquant.
Cryptomonnaies ayant transité par l’adresse de l’attaquant.

Sans grande surprise, les fonds ont ensuite transité par le protocole Tornado Cash pour brouiller les pistes.

Curve annonce la résolution du problème

À peine plus d’une heure après la première alerte, les équipes de Curve Finance ont annoncé avoir réussi à rétablir leur enregistrement DNS. 

« Le problème a été trouvé et annulé. Si vous avez approuvé des contrats sur Curve au cours des dernières heures, veuillez les révoquer immédiatement. Veuillez utiliser http://curve.exchange jusqu’à ce que la propagation de http://curve.fi redevienne normale. »

Curve annonce la résolution du problème.
Curve annonce la résolution du problème.

Fake news et informations supplémentaires

Malheureusement, de nombreuses fausses informations semblent avoir circulé au sein de la communauté. Ainsi, Changpeng « CZ » Zhao, le fondateur de Binance a émis l’idée selon laquelle Curve Finance avait recours aux services de GoDaddy pour gérer le DNS. 

Information qui a par la suite été démentie par Julien Bouteloup, l’un des développeurs du protocole Curve. 

En réalité, il semblerait que l’attaque ait été réalisée sur le fournisseur de service Iwantmyname, comme l’a souligné Curve Finance sur Twitter après avoir résolu le problème : 

« Il semble que quelque chose soit compromis de votre côté (très probablement les serveurs de noms – ils semblent outrepasser ce que l’interface utilisateur leur demande de diffuser). Veuillez faire quelque chose s’il vous plait. »

Selon d’autres informations, fournies par Globalsecuritydatabase, il semblerait que l’attaque ait pu être mitigé par une attaque par inondation (flooding) SYN menée à l’encontre de l’adresse IP hébergeant le site vérolé.

Désormais, Curve va potentiellement rentrer en contact avec l’attaquant pour trouver un terrain d’entente. Par exemple, le protocole Nomad qui a récemment été hacké de 190 millions de dollars a été en mesure de récupérer 36 millions.

Un hack est un évènement malheureux mais pas une fatalité. Apprenez à accorder une confiance raisonnable aux acteurs respectables et reconnus de l’écosystème. La plateforme FTX rentre sans l’ombre d’un doute dans cette seconde catégorie. Venez acquérir et trader vos premiers bitcoins et autres cryptomonnaies. Inscrivez vous sur FTX. Vous y bénéficierez d’une réduction à vie sur vos frais de transaction (lien commercial).

Hellmouth Banner

Fier rédacteur en Chef du Journal du Coin j'apporte ma petite pierre à l'édifice financier global qui émerge sous nos yeux. Les insultes, scoops, propositions de sujets, demandes en mariage et autres corbeilles de fruits sont à livrer sur mes différents comptes sociaux. Vous pouvez également venir discuter sur le groupe FB associé à l'initiative Tahiti Cryptomonnaies

Recevez un condensé d'information chaque jour