Curve Finance Pools de liquidités exploités, $47M perdus

• Les pools de liquidités sur Curve Finance ont été exploités et près de $47 millions ont été drainés du protocole DeFi.
• Une vulnérabilité dans les versions 0.2.15, 0.2.16 et 0.3.0 du langage de programmation Vyper a conduit aux hacks. 
• La chaîne intelligente BNB de Binance a subi un exploit similaire et les attaquants ont drainé $73K.
• En août 2022, Curve Finance a subi une autre attaque qui a entraîné une perte de $570 000.

---

La principale plate-forme de financement décentralisé (DeFi) Curve Finance a été exploitée et, selon la plate-forme de sécurité blockchain BlockSec, près de $47 millions ont été exploités à partir de la plate-forme. Une vulnérabilité dans le langage de programmation Vyper a été citée comme la raison des hacks. Fait intéressant, la chaîne intelligente BNB de Binance a également été confrontée à un exploit similaire.

Selon Vyper, les versions 0.2.15, 0.2.16 et 0.3.0 du langage de programmation sont vulnérables aux dysfonctionnements des verrous de réentrance. Tous les projets qui fonctionnent avec ce langage de programmation ont été invités à rester prudents et à contacter l'équipe Vyper, y compris Curve Finance.

PSA : les versions 0.2.15, 0.2.16 et 0.3.0 de Vyper sont vulnérables aux dysfonctionnements des verrous de réentrance. L'enquête est en cours mais tout projet s'appuyant sur ces versions doit nous contacter immédiatement.

— Vyper (@vyperlang) 30 juillet 2023

"L'enquête est en cours, mais tout projet reposant sur ces versions doit nous contacter immédiatement", Vyper déclaré via la plate-forme de médias sociaux X (anciennement connue sous le nom de Twitter). De plus, selon l'analyse de la société de sécurité Ancilia, 136 contrats utilisaient Vyper 0.2.15 avec protection réentrante, 98 contrats utilisaient Vyper 0.2.16 et 226 contrats utilisaient Vyper 0.3.0.

De plus, Curve Finance a également confirmé l'exploit via son compte X officiel, déclarant qu'un certain nombre de pools stables utilisant Vyper 0.2.15, y compris alETH/msETH/pETHalETH/msETH/pETH ont été exploités. D'autres pools, y compris les contrats crvUSD et tous les pools avec eux, sont pas affecté. 

Un certain nombre de pools stables (alETH/msETH/pETH) utilisant Vyper 0.2.15 ont été exploités à la suite d'un dysfonctionnement du verrou de réentrance. Nous évaluons la situation et mettrons à jour la communauté au fur et à mesure que les choses évoluent.

Les autres piscines sont sûres. https://t.co/eWy2d3cDDj

– Courbe Finance (@CurveFinance) 30 juillet 2023

Selon l'analyse initiale effectuée par de nombreuses personnes dans l'espace cryptographique, certaines versions du compilateur Vyper n'implémentent pas correctement la protection de réentrance. Par conséquent, la fonctionnalité qui empêche l'exécution simultanée de plusieurs fonctions en verrouillant un contrat ne fonctionne pas. De plus, les attaques par réentrance peuvent potentiellement drainer tous les fonds d'un contrat. C'est la raison fondamentale de l'exploit sur Curve Finance.

Avec Curve Finance, la chaîne intelligente BNB de Binance a également subi un exploit, et l'attaquant a emporté plus de $73 000 en crypto-monnaies. Les attaques contre Ethereum ont déjà dépassé $41 millions.

Fait intéressant, en août 2022, Curve Finance a subi une autre attaque qui a entraîné une perte de $570 000. Cependant, Binance a aidé la plateforme DeFi récupérer près de $450k après que le pirate a tenté de liquider les actifs. Curve a révélé que le problème aurait pu être le résultat d'un piratage du fournisseur de serveur de noms de domaine (DNS) 'je veux mon nom.'

Dernières nouvelles