Diverses équipes qui ont forké le code de Curve Finance signalent maintenant des exploits après qu’un attaquant a découvert une vulnérabilité dans un ancien compilateur du langage de programmation Vyper.
Curve Finance est une bourse décentralisée pour les échanges de stablecoins et de crypto-tokens tels que Ethereum et Wrapped Ethereum (WETH).
La plateforme a été exploitée dimanche pour un montant estimé à 52 millions de dollars.
Au-delà des dommages causés à Curve elle-même, le piratage a révélé une vulnérabilité critique dans l’écosystème DeFi au sens large, affectant spécifiquement les contrats intelligents construits à l’aide de certaines versions du langage de programmation Vyper.
Cela a eu des répercussions en raison de la prévalence de l’utilisation de Vyper dans divers projets cryptographiques – bien que beaucoup moins que Solidity, a déclaré Michael Lewellan, responsable de l’architecture des solutions d’OpenZeppelin, à TCN.
Selon un tweet de l’équipe de Vyper, les contrats développés avec les versions 0.2.15, 0.2.16 et 0.3.0 de Vyper sont actuellement « vulnérables au mauvais fonctionnement des verrous de réentrance. «
PSA : Les versions 0.2.15, 0.2.16 et 0.3.0 de Vyper sont vulnérables à un mauvais fonctionnement des verrous de réentrance. L’enquête est en cours mais tout projet reposant sur ces versions doit immédiatement nous contacter.
– Vyper (@vyperlang) 30 juillet 2023
L’équipe demande instamment aux développeurs d’autres dApps basées sur Vyper de « résoudre immédiatement » ce problème. « Il ne s’agit pas d’un problème lié aux protocoles ou au code des dapps, mais d’un problème lié à Vyper lui-même, qui est un langage EVM minoritaire, mais qui existe depuis longtemps », a déclaré Gustavo Gonzales, développeur de solutions chez Open Zeppelin, à TCN.
Le pseudo-développeur de Vyper, señor doggo, soupçonne l’implication de « pirates parrainés par l’État » en se basant sur le niveau de ressources, de temps et d’expertise utilisé pour exécuter le piratage et exposer la vulnérabilité avec les contrats intelligents Curve.
Officer’s Notes, un chercheur en sécurité indépendant, a déclaré à TCN que les contrats intelligents Vyper « pourraient être vulnérables si deux conditions étaient remplies ».
La première est que le contrat soit construit en utilisant la version 0.2.15 de Vyper. La seconde, c’est que les mesures de protection appropriées pour l’ajout et le retrait de liquidités ne sont pas mises en œuvre dans le code.
Un certain type de Curve factory pool subit une attaque de réentrance en lecture seule et cause une perte totale de 11 millions de dollars (@JPEGd_69) + 13 millions de dollars (@AlchemixFi) + …
Une première enquête a révélé que le compilateur vyper (0.2.15) n’implémente pas correctement la garde de réentrance.
add_liquidity et… pic.twitter.com/avaHdtSFsm
– Tony KΞ (@tonyke_bot) July 30, 2023
Un autre problème qui a pu accélérer les dégâts de l’exploit est que les détails du bogue ont été publiés sur Twitter avant que l’exploit n’ait été atténué.
Cela a entraîné « une certaine réaction en raison de l’utilisation potentielle de ces informations pour d’autres attaques », a déclaré M. Lewellan à TCN. « La communauté de sécurité de l’EPF est préoccupée par le fait que la communication des bogues doit être plus discrète. «
Curve forks rapporte des exploits
Des fourches de protocole Curve sur d’autres chaînes apparaissent également avec des rapports d’exploitation similaires.
Ellipsis Finance, un fork Curve autorisé avec 6,5 millions de dollars de dépôts totaux, selon les données de DeFiLlama, a tweeté ce matin qu’un « petit nombre de stablepools avec BNB » ont été exploités
Un petit nombre de pools stables avec BNB utilisant un ancien compilateur Vyper ont été exploités.
Nous évaluons la situation et tiendrons la communauté informée de toute nouvelle découverte. https://t.co/pxkhRRSr5w
– Ellipsis (@Ellipsisfi) July 30, 2023
L’équipe de Curve Finance a également déclaré que le pool Tricrypto – composé de USDT, WBTC et ETH – déployé par Curve sur la solution de couche 2 Arbitrum était également « potentiellement affecté » mais n’avait pas encore été exploité.
Auxo DAO, un fonds décentralisé de production de rendement dont les dépôts totalisent 5,4 millions de dollars, a décidé de retirer les liquidités des pools Curve et Convex Finance pour « atténuer les risques de contagion. «
Pour atténuer les risques de contagion, toutes les positions ont été rapidement retirées de Curve / Convex jusqu’à nouvel ordre.
L’exposition de la trésorerie au pool @AlchemixFi alETH/ETH est de 429,6 ETH. Nous surveillons la situation, plus d’informations bientôt. https://t.co/wewmvWavwM
– Auxo (@AuxoDAO) 30 juillet 2023
Convex Finance est une application DeFi qui propose une stratégie d’optimisation du rendement pour les jetons CRV de Curve, avec des dépôts totaux d’une valeur de 1,382 milliard de dollars, selon les données de DefiLlama. Sa liquidité a chuté de 52,5 %, passant de 2,91 milliards de dollars depuis hier, après l’exploit de Curve.
Elle possède 298,3 millions de jetons CRV, selon un tableau de bord de Dune, ce qui représente un tiers de l’offre de CRV en circulation.