Un piratage impliquant plusieurs protocoles DeFi
Le récent piratage de Curve a suscité une grande confusion au sein de la communauté. Non seulement parce que c’est le plus grand projet du système DeFi, mais aussi en raison de l’ampleur et de la portée de l’incident. Actuellement, la perte d’actifs risque d’atteindre 100 millions de dollars. Un utilisateur a rapporté que le suspect avait été sur la bibliothèque de blockchain Ethereum web3.py et l’écosystème d protocole Defi open-source Bancor pendant un certain temps.
Plusieurs protocoles Curve utilisant le langage de programmation Vyper 0.2.15 ont été attaqués à plusieurs reprises. Le piratage a commencé dans la soirée du 30 juillet. Le projet JPED’d, un projet de prêt NFT, a annoncé qu’il avait été attaqué sur le pool de liquidité pETH-ETH pour une perte allant jusqu’à 11.4 millions de dollars.
Ensuite, l’équipe sETH-ETH du projet Metronome s’est vue retirer plus de 1.6 million de dollars. D’autres projets comme Alchemix, Debridge et Elippsis ont ensuite connu la même situation. Selon la société de sécurité BlockSec, plus de 42 millions de dollars ont été retirés de groupes sur Curve pour cette raison.
Une préparation profondément préparée
Selon un expert de Vyper, l’équipe de pirates de Curve a fait des recherches approfondies sur chaque version de Vyper pour trouver des vulnérabilités exploitables. Cela permet de préparer l’attaque pendant des semaines, voire des mois. Il soupçonne donc que des pirates parrainés par l’État pourraient être impliqués.
Historiquement, l’attaque contre Ronin Network, qui a causé plus de 600 millions de dollars de dégâts l’année dernière, a été menée par Lazarus Group, un groupe de pirates informatiques notoirement financé par le gouvernement nord-coréen.
Ce piratage n’est quelque chose qu’un hacker typique aurait cherché. Il a creusé profondément dans l’historique des différentes versions pour trouver un problème exploitable pour un grand protocole avec plusieurs millions de dollars en jeu. L’identification de ce problème a pris beaucoup de temps.
