Liquidité de plusieurs Curve Finance les piscines ont été attaquées le 30 juillet en raison d’une vulnérabilité trouvée dans le langage de programmation Vyper. Vyper est un langage de programmation de contrat créé pour la machine virtuelle Ethereum (EVM).
Curve Finance est l’un des principaux protocoles de finance décentralisée (DeFi) en raison de ses principaux services de liquidité, et la vulnérabilité du code a mis en danger près de 100 millions de dollars d’actifs numériques.
La vulnérabilité a été trouvée dans les versions 0.2.15, 0.2.16 et 0.3.0, entraînant un dysfonctionnement du verrou de réentrance. En conséquence, des millions ont été drainés de quatre pools Curve, à savoir aETH/ETH, msETH/ETH, pETH/ETH et CRV/ETH. La faille dans trois de ses variantes peut avoir un effet sur un certain nombre d’autres protocoles.
Veuillez noter que ce problème de réentrance est associé à l’utilisation de “use_eth”, qui pourrait potentiellement mettre en danger les pools liés à WETH ! @CurveFinance s’il vous plaît DM nous si vous avez besoin d’aide. https://t.co/vjc1RRce7w pic.twitter.com/Wz8DXJZK7Y
– BlockSec (@BlockSecTeam) 30 juillet 2023
Le prix du jeton natif de Curve Finance (CRV) s’est effondré sur le marché DeFi en raison de la vidange importante de plusieurs pools ; cependant, il a finalement été sauvé par l’alimentation centralisée des prix d’échange. Le prix du CRV a atteint 0,086 $ sur les bourses décentralisées mais s’est échangé à 0,60 $ sur les bourses centralisées (CEX), empêchant le prix du jeton de s’effondrer à zéro.
Les pools de courbes utilisent le système oracle de Chainlink qui intègre plusieurs flux de prix, y compris des échanges centralisés. Sans le flux de prix CEX, Curve Finance se serait effondré. Cet incident ironique a attiré l’attention du PDG de Binance, Changpeng Zhao, qui a ri du fait qu’en fin de compte, c’est un flux de prix CEX qui a sauvé le protocole DeFi.
Zhao a noté que la vulnérabilité Vyper n’avait pas d’impact sur Binance, car l’échange crypto a mis à jour le code vers la dernière version. Il a également rappelé à tous l’importance des mises à niveau de la bibliothèque de codes.
Le flux de prix CEX permet d’économiser DeFi. ♂️
Les utilisateurs de Binance ne sont pas concernés. Notre équipe a vérifié la vulnérabilité Vyper Reentrant. Nous n’utilisons que la version 0.3.7 ou supérieure.
Il est important de rester à jour avec les bibliothèques de code, les applications et le système d’exploitation. Et rester #LIGNE https://t.co/0GFv86KP9R
– CZ Binance (@cz_binance) 31 juillet 2023
On pense que le bogue dans les versions antérieures du code Vyper a au moins 1,5 ans, et l’exploiteur aurait creusé profondément dans l’historique des versions pour trouver un problème exploitable pour un grand protocole avec des millions de dollars en jeu. Un contributeur du programme Vyper sur X (Twitter) suggéré le temps et les ressources consacrés à l’exploit indiquent qu’il pourrait s’agir d’une attaque parrainée par l’État.
Recueillir cet article en tant que NFT pour préserver ce moment de l’histoire et montrer votre soutien au journalisme indépendant dans l’espace crypto.
Magazine: Les projets de cryptographie devraient-ils un jour négocier avec des pirates ? Probablement
