Une attaque informatique a eu lieu hier sur Curve. Montant total des dégâts : 42M$. Le protocole DeFi basé sur Ethereum a connu une attaque en continu ce week-end, majoritairement sur ses pools de stablecoins.
Les pools de Curve victimes de l’attaque
Catastrophique, le mot est faible. Selon une annonce de Curve Finance sur Twitter, plusieurs pools de stablecoin ont été la cible d’une attaque tout au long du week-end. Plusieurs pools, à l’instar de alETH, msETH et pETH ont ainsi été la victime de choix d’une hack massif qui aura permis de dérober environ 42M$.
A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.
Other pools are safe. https://t.co/eWy2d3cDDj
— Curve Finance (@CurveFinance) July 30, 2023
Curve déclare de son côté que son stablecoin, le crvUSD, n’avait pas été impacté par l’attaque, et que les autres pools avaient par ailleurs été épargnés.
Sauvetage des fonds des utilisateurs
La réaction des développeurs ne se sera pas fait attendre. Toutefois, et malgré de nombreuses tentatives, une quantité importante de token n’aura pas pu être récupérée.
We were literally 30 seconds behind. fuck https://t.co/4FBCGHurz8
— Addison (@0xaddi) July 30, 2023
Même si, en parallèle, environ 2,879 ETH ont pu être récupérés, soit 5.4 millions de dollars, l’opération des white hat aura globalement été un échec conséquent pour Curve Finance et ses victimes.
Une faille a été découverte à la suite du hack. En pratique, celle-ci est le résultat direct d’une erreur dans le langage de programmation utilisé par Curve, Vyper. Présente dans les versions 0.2.15, 0.2.16 et 0.3.0 de Vyper, celle-ci fut rapidement corrigée.
Le cours du token de Curve, victime secondaire de l’attaque
Évidemment, suite à l’attaque sur le réseau, le token de Curve, le CRV, a connu une baisse de valeur importante. Aujourd’hui, le token affiche -12.51% sur CoinMarketCap. Alors que le CRV s’échangeait au prix moyen de 0.73$ avant le hack, celui-ci vaut maintenant 0.64$.
Le volume d’échange, lui, est évidemment important avec des utilisateurs qui ont cherché à mettre leurs fonds à l’abri durant ces dernières heures. Ainsi, le volume d’échange sur 24h est à +2,000%, soit une véritable fuite de la part des investisseurs.
Les utilisateurs qui possédaient des CRV avant l’attaque sont donc les victimes collatérales d’un hack qui, à l’heure actuel, serait estimé à plus de 42M$ sur l’un des protocoles majeurs de la DeFi.
En rapport : zkSync Era : Un hack à plus de 3 millions de dollars !
Ce qu’il faut retenir :
- Curve a été victime d’un hack qui a permis de dérober plus de 42M$
- Seulement 5.4M$ ont pu être récupérés
- La valeur du CRV chute de -12%