Ce matin, Curve Finance a déclaré qu’en plus de plusieurs pools Ethereum, un pool de liquidité basé sur Arbitrum pourrait également avoir été « potentiellement affecté » au cours du week-end.
Curve Finance est un échange décentralisé (DEX) populaire, qui permet aux utilisateurs d’échanger des actifs similaires tels que l’Ethereum contre l’Ethereum Staked, ou l’USDT de Tether contre l’USDC de Circle. Il peut s’agir d’un outil d’arbitrage utile pour de nombreux traders si les prix de ces actifs se dissocient les uns des autres.
Selon les premiers rapports, la plateforme a été exploitée dimanche pour plus de 24 millions de dollars. Cependant, la société de sécurité blockchain PeckShield a mis à jour le montant volé à 52 millions de dollars au fur et à mesure que le piratage se déroule en temps réel.
L’équipe de l’échange décentralisé a écrit dans le tweet que trois pools de liquidité pour les jetons appariés avec Ethereum (ETH) et le jeton de gouvernance Curve CRV, ainsi que plusieurs jetons ERC-20 émis sur Alchemix (alETH), Metronome Synth (smETH), JPEG’d (pETH) « ont été piratés » en raison d’un « problème dans les versions du compilateur Vyper ».
Vyper est un langage de programmation permettant d’écrire des contrats intelligents sur la blockchain Ethereum. L’équipe de base du langage de programmation a tweeté ce matin que certaines anciennes versions du langage de programmation Vyper étaient vulnérables à l’exploitation.
PSA : Les versions 0.2.15, 0.2.16 et 0.3.0 de Vyper sont vulnérables à un mauvais fonctionnement des verrous de réentrance. L’enquête est en cours mais tout projet reposant sur ces versions doit immédiatement nous contacter.
– Vyper (@vyperlang) 30 juillet 2023
Un contributeur principal du langage de programmation s’est également exprimé sur Twitter, affirmant que les pirates ont probablement mis « des semaines, voire des mois, à trouver » la faille.
Le dernier tweet de l’équipe de Curve a mis en évidence un autre effet d’entraînement sur le pool de liquidités basé sur Vyper lors de son déploiement sur la solution de couche 2 Arbitrum. L’équipe a déclaré que Tricrypto, composé de trois jetons : USDC, wBTC et ETH, était « potentiellement affecté ».
Le tweet indique que si les experts en sécurité, comme les auditeurs et les développeurs de Vyper, n’ont pas encore trouvé le moyen d’un « exploit rentable », les pools restent vulnérables et conseillent aux fournisseurs de liquidités de « sortir de celui-ci ».
Par ailleurs, un autre DEX basé sur BNB Chain, Ellipsis, a signalé une exploitation des pools de swaps stables sur BNB Chain.
Un petit nombre de stablepools avec BNB utilisant un ancien compilateur Vyper ont été exploités.
Nous évaluons la situation et tiendrons la communauté informée de toute nouvelle découverte. https://t.co/pxkhRRSr5w
– Ellipsis (@Ellipsisfi) 30 juillet 2023
La bourse cryptographique sud-coréenne Upbit a annoncé la suspension temporaire des dépôts et des retraits de jetons CRV par mesure de précaution.
L’échange a écrit dans le communiqué de presse que, « Upbit continuera à surveiller cette situation, et les membres sont invités à prêter attention à l’augmentation de la volatilité du prix de Curve. «
