Le célèbre protocole de Finance Décentralisée (DeFi) Curve Finance a subi ce soir une attaque importante. Il est demandé aux utilisateurs de ne pas interagir avec la plateforme avant nouvel ordre.
Une attaque sur Curve Finance
Des premières informations disponibles et communiquées par l’équipe de Curve Finance, il semblerait que le frontend du site officiel (la partie visible publiquement) ait été compromis. L’attaque pourrait avoir pris la forme d’un ‘“DNS spoofing“, autrement dit d’un détournement des DNS permettant de rerouter le trafic vers un site miroir malicieux.
Ce sont plus de 570 000$ qui ont déjà été détournés (mouvements observables sur cette adresse, en cours de redistribution vers des exchanges au moment de la rédaction.
Mise à jour du 10/08 à 13h.
Une attaque de DNS
Au fil des années, Curve Finance a acquis une certaine notoriété en proposant des smart contracts robustes. Jusqu’à présent, ses contrats restent inviolés.
Cependant, la robustesse de ses contrats n’aura pas empêché un attaquant de trouver une autre porte d’entrée pour accéder aux fonds des utilisateurs.
Comme nous venons de le voir, ce ne sont pas les smart contracts du protocole qui ont été compromis.
En effet, comme initialement envisagé par Curve Finance, le protocole a été victime d’une attaque dite d’usurpation DNS.
En pratique, le DNS, ou Domain Name Service, est un service informatique qui a pour mission de faire le lien entre un nom de domaine – ici curve.fi – et l’adresse IP du serveur hébergeant le site internet.
Lors de son offensive, l’attaquant a été en mesure de modifier l’enregistrement DNS. Cette modification lui a permis de renvoyer les utilisateurs vers une copie conforme du site de Curve Finance. Cependant, cette copie comportait des demandes d’approbations malveillantes permettant d’accéder aux fonds des utilisateurs s’y connectant par mégarde.
Résultat, l’adresse de l’attaquant a pu dérober l’équivalent de 1,2 million de dollars répartis de la manière suivante :
- 362 ETH, soit 613 984 $ ;
- 606 000 USDC ;
- 6 000 DAI.
Sans grande surprise, les fonds ont ensuite transité par le protocole Tornado Cash pour brouiller les pistes.
Curve annonce la résolution du problème
À peine plus d’une heure après la première alerte, les équipes de Curve Finance ont annoncé avoir réussi à rétablir leur enregistrement DNS.
« Le problème a été trouvé et annulé. Si vous avez approuvé des contrats sur Curve au cours des dernières heures, veuillez les révoquer immédiatement. Veuillez utiliser http://curve.exchange jusqu’à ce que la propagation de http://curve.fi redevienne normale. »
Fake news et informations supplémentaires
Malheureusement, de nombreuses fausses informations semblent avoir circulé au sein de la communauté. Ainsi, Changpeng « CZ » Zhao, le fondateur de Binance a émis l’idée selon laquelle Curve Finance avait recours aux services de GoDaddy pour gérer le DNS.
Information qui a par la suite été démentie par Julien Bouteloup, l’un des développeurs du protocole Curve.
En réalité, il semblerait que l’attaque ait été réalisée sur le fournisseur de service Iwantmyname, comme l’a souligné Curve Finance sur Twitter après avoir résolu le problème :
« Il semble que quelque chose soit compromis de votre côté (très probablement les serveurs de noms – ils semblent outrepasser ce que l’interface utilisateur leur demande de diffuser). Veuillez faire quelque chose s’il vous plait. »
Selon d’autres informations, fournies par Globalsecuritydatabase, il semblerait que l’attaque ait pu être mitigé par une attaque par inondation (flooding) SYN menée à l’encontre de l’adresse IP hébergeant le site vérolé.
Désormais, Curve va potentiellement rentrer en contact avec l’attaquant pour trouver un terrain d’entente. Par exemple, le protocole Nomad qui a récemment été hacké de 190 millions de dollars a été en mesure de récupérer 36 millions.
Les hacks sont des aléas malheureux, mais pas une fatalité. Besoin de tranquillité d’esprit pour vos cryptos ? Inscrivez-vous vite sur la plateforme Binance, LA référence absolue du secteur, et économisez 10% sur vos frais de trading en suivant ce lien (lien commercial).
