Plusieurs pools stables sur Curve Finance utilisant Vyper ont été attaqués le 30 juillet, avec des pertes atteignant plus de 47 millions de dollars. Selon Vyper, ses versions 0.2.15, 0.2.16 et 0.3.0 sont vulnérables à un mauvais fonctionnement des verrous de réentrance.
« L'enquête est en cours, mais tout projet reposant sur ces versions doit immédiatement nous contacter. », a écrit Vyper sur X. D'après une analyse des contrats concernés réalisée par la société de sécurité Ancilia, 136 contrats utilisaient Vyper 0.2.15 avec une protection de réentrance, 98 contrats utilisaient Vyper 0.2.16 et 226 contrats utilisaient Vyper 0.3.0.
A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.
— Curve Finance (@CurveFinance) July 30, 2023
Other pools are safe. https://t.co/eWy2d3cDDj
Selon les premiers éléments de l'enquête, certaines versions du compilateur Vyper n'implémentent pas correctement la garde de réentrance, qui empêche l'exécution simultanée de plusieurs fonctions en verrouillant un contrat. Les attaques par réentrance peuvent potentiellement drainer tous les fonds d'un contrat.
Vyper est un langage de programmation pythonique et axé sur les contrats qui cible l'Ethereum Virtual Machine (EVM). Les similitudes de Vyper avec Python font de ce langage l'un des points de départ pour les développeurs Python qui se lancent dans le Web3.
Un certain nombre de projets financiers décentralisés ont été touchés par l'attaque. L'exchange décentralisé Ellipsis a rapporté qu'un petit nombre de pools stables avec BNB ont été attaqués à l'aide d'un vieux compilateur Vyper. L'alETH-ETH d'Alchemix a également été victime d'une fuite de 13,6 millions de dollars, de même que 11,4 millions de dollars dérobés sur le pool pETH-ETH de JPEGd, et 1,6 million de dollars sur le pool sETH-ETH de Metronome. Le PDG de Curve Finance, Michael Egorov, a confirmé plus tard que 32 millions de tokens CRV d'une valeur de plus de 22 millions de dollars avaient été vidés du pool d'échange dans un canal Telegram.
Certain type of Curve factory pool is encountering read-only reentrancy attack and causing a total loss of $11m(@JPEGd_69) + $13m(@AlchemixFi) + ...
— Tony KΞ (@tonyke_bot) July 30, 2023
Initial investigation founds that vyper compiler (0.2.15) doesn't implement the reentrancy guard correctly.
add_liquidity and… pic.twitter.com/avaHdtSFsm
La découverte de ce piratage a semé la panique dans l'écosystème DeFi, provoquant une vague de transactions entre les pools et une opération de sauvetage de la part des pirates éthiques. Les données de CoinMarketCap montrent que le token utilitaire de Curve Finance, Curve DAO (CRV), a chuté de plus de 5 % en réaction à la nouvelle. La liquidité de CRV a considérablement diminué au cours des derniers mois, ce qui le rend vulnérable à de violentes fluctuations de prix, a rapporté Cointelegraph. Selon Curve Finance, les contrats crvUSD et les pools qui les contiennent n'ont pas été affectés par l'attaque.
Curve Finance est un protocole DeFi qui permet l'échange décentralisé de stablecoins au sein d'Ethereum. Le protocole a été la cible d'une série d'incidents au sein de son écosystème. Il y a quelques jours, sa plateforme omnipool Conic Finance a été piratée avec une perte de 3,26 millions de dollars en ether (ETH), la quasi-totalité de la somme volée ayant été envoyée à une nouvelle adresse Ethereum en une seule transaction.
Les protocoles DeFi ont été la cible de nombreuses attaques au cours des derniers mois. Selon un rapport de l'application de portefeuille Web3 De.Fi, plus de 204 millions de dollars ont été escroqués par le biais de piratages et d'escroqueries DeFi au cours du seul deuxième trimestre 2023.