Le protocole de finance décentralisé Curve siphonné par des hackers

L’équivalent de plusieurs dizaines de millions de dollars, entre 52 et 62 selon les derniers décomptes. Les pirates informatiques qui se sont attaqués le 30 juillet au protocole de finance décentralisé Curve Finance viennent de rafler le pactole. Maigre consolation : un hacker éthique a réussi à reprendre la main sur une partie du magot, soit 2,879 ethers, l’équivalent d’environ 5,4 millions de dollars.

Selon les premières investigations, l’échange décentralisé aurait été victime d’une vulnérabilité dans Vyper. Ce langage de programmation est utilisé sur la chaîne de blocs Ethereum pour coder des contrats intelligents. La faille a visiblement permis aux attaquants de vider plusieurs réserves de liquidités de Curve, stockées sous la forme de divers crypto-actifs.

Risques plus larges 

Comme le rapporte le média spécialisé Decrypt, ce piratage donne des sueurs froides à l’écosystème crypto. Car cette faille pourrait être exploitée à l’encontre d’autres contrats intelligents, en dehors de la plateforme Curve, basés également sur des versions compromises de Vyper. Un souci dont est bien conscient l’équipe du langage de programmation. Dans leur tweet lapidaire confirmant la faille, ces derniers ont appelé les porteurs de projet basés sur les versions 0.2.15, 0.2.16 et 0.3.0 à les contacter immédiatement.

L’un des développeurs de Vyper a également remarqué que les attaquants avaient dû prendre "beaucoup de temps pour identifier" la vulnérabilité, en cherchant avec minutie dans les profondeurs de leur code durant "quelques semaines à quelques mois". "Je pense qu’il est raisonnable de soupçonner que des pirates informatiques parrainés par un État puissent être impliqués", ajoute-t-il.

Lazarus, usual suspect 

Une hypothèse qui devra être prouvée, mais qui est très crédible. Exemple avec la plateforme crypto estonienne CoinsPaid. Victime d’un piratage informatique le 22 juillet, qui s’est soldée par un vol de 37 millions de dollars, elle a désigné comme principal suspect Lazarus, l’un des groupes de hackers les plus actifs de la Corée du Nord… déjà également soupçonné par la société Elliptic en juin d’être derrière le hack à 100 millions de dollars d’Atomic Wallet.

Chainalysis, une autre firme spécialisée dans le suivi des transactions sur les blockchain, avait également souligné que les hackers affiliés à la Corée du Nord avaient été impliqués dans des piratages de crypto totalisant l’équivalent de 1,7 milliard de dollars volés en 2022. Des vols de crypto qui, de façon générale, battent les records. Chainalysis avait évalué à environ 3,8 milliards de dollars - contre 3,3 milliards en 2021 et seulement 500 millions en 2020 - le montant des cryptos volées en 2022.