Plusieurs protocoles financiers décentralisés ont été touchés dimanche par des attaquants qui ont volé plus de 24 millions de dollars en crypto-monnaie. Les attaquants ont exploité une vulnérabilité dans les pools de liquidité sur Curve, la plateforme de market maker automatisée.
La vulnérabilité a été retracée jusqu’à Vyper, un langage de programmation alternatif et tiers pour les contrats intelligents Ethereum, selon Curve sur Twitter. Curve a déclaré que d’autres pools de liquidité qui n’exploitent pas ce langage ne posent pas de problème.
Un certain nombre de pools de liquidités (alETH/msETH/pETH) utilisant Vyper 0.2.15 ont été exploités en raison d’un dysfonctionnement du verrou de réentrance. Nous évaluons la situation et informerons la communauté au fur et à mesure.
Les autres pools sont sûrs. https://t.co/eWy2d3cDDj
– Curve Finance (@CurveFinance) 30 juillet 2023
Les pools de liquidité sont des contrats intelligents qui détiennent des jetons, et ils peuvent fournir des liquidités aux marchés des crypto-monnaies d’une manière qui ne dépend pas d’intermédiaires financiers. Mais, comme plusieurs projets l’ont appris dimanche, une petite faille peut entraîner des pertes considérables.
Selon la société de sécurité financière décentralisée Decurity, 11 millions de dollars de crypto-monnaies ont été volés au protocole de prêt NFT JPEG’d. JPEG’d a été l’un des premiers à identifier un problème avec son pool sur Curve.
« Il y a eu une attaque », a déclaré JPEG’d sur Twitter. « Nous avons examiné le problème dès que nous en avons été informés et […] le problème semble être lié au pool Curve.
JPEG’d permet aux utilisateurs de déposer des NFT comme garantie pour des prêts. En termes d’actifs déposés dans JPEG’d, le protocole a une valeur totale bloquée (TVL) d’environ 32 millions de dollars. JPEG’d a déclaré que le code responsable de la conservation des NFT et des fonds de trésorerie n’a pas été affecté.
Le jeton de gouvernance du protocole, JPEG, était en baisse de 23 % au moment de la rédaction de cet article, selon les données de CoinGecko. Dimanche, la pièce a frôlé son plus bas niveau historique de 0,000347 $.
Dans un tweet aujourd’hui supprimé, Curve a d’abord décrit la vulnérabilité comme une banale attaque de « réentrance » en lecture seule qui aurait pu être évitée. Une attaque par réentrance se produit lorsqu’un contrat intelligent interagit avec un autre contrat, qui à son tour rappelle le premier contrat avant de s’exécuter complètement.
Les vulnérabilités liées à la réentrance permettent à un attaquant de concentrer plusieurs appels dans une seule fonction et de tromper un contrat intelligent en calculant des soldes incorrects. L’un des exemples les plus marquants est le piratage de la DAO sur Ethereum, qui a coûté 55 millions de dollars en 2016.
Répondant à un compte Twitter qui a repris la déclaration supprimée plus tard, Curve a cependant déclaré que son impression initiale était erronée.
« Oui, pas en lecture seule », a déclaré Curve, ajoutant qu’il n’y avait « aucun acte répréhensible de la part des projets qui ont intégré, ou même des utilisateurs de vyper. «
Yep, pas en lecture seule. Aucune faute du côté des projets qui ont intégré, ou même des utilisateurs de vyper ici
– Curve Finance (@CurveFinance) 30 juillet 2023
Les attaques de réentrance sont un vecteur trop courant pour que les attaquants puissent s’emparer des protocoles, a déclaré à TCN Meir Dolev, cofondateur et directeur de la technologie de la société de cybersécurité Cyvers.
« Elles sont assez courantes », a déclaré M. Dolev. « Et il est possible de les éviter avec une conception et un développement appropriés.
Le problème n’est pas spécifique à JPEG’d. Peu de temps après l’exploitation du protocole de prêt NFT, Alchemix et Metronome DAO ont perdu respectivement 13,6 millions de dollars et 1,6 million de dollars de la même manière.
Alchemix a reconnu sur Twitter qu’elle travaillait activement à la résolution d’un problème avec son pool de liquidités. MetronomeDAO a déclaré sur Twitter que son enquête sur ce qui s’est passé est en cours, décrivant l’attaque comme « faisant partie d’un ensemble plus large d’exploits ».
Dans le cas de JPEG’d, l’attaquant a été devancé par un bot de valeur maximale extractible (MEV), a déclaré M. Dolev. Le robot a identifié la transaction de l’attaquant potentiel et a payé des frais pour exécuter une transaction similaire avant lui.
Vyper a déclaré sur Twitter que c’était le compilateur du langage de programmation qui avait échoué. Lorsqu’un développeur a fini d’écrire un code, celui-ci est compilé à partir d’un format lisible par l’homme dans une forme que les ordinateurs peuvent exécuter.
Cela a empêché les protections de réentrée – des protections qui étaient incluses dans le code des projets et qui devraient protéger contre les attaques de réentrée – de fonctionner, a déclaré M. Dolev.
« Le compilateur, dans certaines versions, n’a pas réussi à le compiler de la bonne manière », a déclaré M. Dolev. « Il présente des bogues ou des défaillances. «
