Hack CRV 31/07/23 : Le 30 juillet, Curve Finance, un protocole de finance décentralisée (DeFi), a connu des exploits sur ses pools stables qui utilisaient Vyper, un langage de programmation de contrats intelligents pour la machine virtuelle Ethereum (EVM). Plus précisément, les pools stables alETH, msETH et pETH utilisant Vyper 0.2.15 ont été affectés en raison d’un dysfonctionnement du verrou de réentrance. Il est important de noter que les contrats crvUSD et les pools qui y sont associés n’ont pas été affectés. Curve exploite 232 pools différents, mais seuls ceux qui utilisent les versions spécifiques de Vyper mentionnées ci-dessus ont été affectés.
Pertes et impacts significatifs
Le PDG de Curve Finance, Michael Egorov, a révélé qu’environ 32 millions de jetons CRV, d’une valeur de plus de 22 millions de dollars, ont été drainés du pool d’échange. Cependant, on estime que les pertes totales ont dépassé les 40 millions de dollars. Cette faille de sécurité a provoqué une instabilité importante dans l’écosystème DeFi, car de nombreux protocoles dépendent fortement des pools stables de Curve. D’autres projets DeFi comme Ellipsis, Alchemix et Metronome ont également signalé que leurs pools stables avaient été exploités. L’exploit a été réalisé par une attaque de réentrance, où une procédure de calcul peut être interrompue et réintroduite avant que ses invocations précédentes ne soient terminées.
Hack CRV 31/07/23 | Retour de certains fonds
Le 31 juillet, le cabinet d’analyse PeckShield a signalé que l’exploiteur Curve avait renvoyé 2 879 ETH, soit l’équivalent d’environ 5,4 millions de dollars, à l’adresse de déploiement du protocole. Cette évolution indique que l’auteur de l’attaque avait peut-être un autre motif que le simple gain financier.
Impact sur Curve Finance
Curve Finance a récemment été la cible d’attaquants. La semaine dernière, son omnipool Conic Finance a été exploité pour 3,6 millions de dollars en Ethereum à l’aide d’une attaque de réentrance similaire. À la suite de l’exploit récent, la valeur totale verrouillée (TVL) de Curve Finance a connu une baisse significative, chutant de 43 %, passant de 3,26 milliards de dollars à 1,87 milliard de dollars, comme l’a rapporté DeFiLlama.
Hack CRV 31/07/23 | Baisse du prix du jeton CRV
À la suite de l’attaque, le jeton natif de Curve, CRV, a connu une baisse significative de son prix. Dans les heures qui ont suivi l’exploit, CRV a chuté de 18 % et, au moment de la rédaction de cet article, il s’échangeait à 0,621 $, reflétant une perte de 15 % au cours des dernières 24 heures. Au cours des deux dernières semaines, CRV a chuté de 23 % et reste en baisse de 96 % par rapport à son record historique de 15,37 $ en août 2020. Il convient de noter que de nombreux jetons au sein de l’écosystème DeFi plus large ont également été fortement touchés par le marché baissier actuel, avec des prix en baisse de 80 à 90% par rapport à leurs niveaux les plus élevés.
