Le monde de la finance décentralisée (DeFi) a connu une période agitée avec des attaques se produisant sur des protocoles de premier plan. Le dernier en date est BNB Smart Chain, qui a subi une série d’exploits de copie de Vyper entraînant le détournement de 73 000 $.
BNB Smart Chain et Curve Finance : Le double visage des attaques
Dans l’écosystème de la blockchain, l’insécurité persistante a récemment mis en lumière deux protocoles de premier plan, BNB Smart Chain et Curve Finance.
Ainsi, le 30 juillet, BlockSec, une entreprise spécialisée en sécurité blockchain, a annoncé via un tweet que la BNB Smart Chain était la victime d’attaques semblables à celles rencontrées par le protocole DeFi Curve Finance.
The sheet updated. Losses have already ~$41m!https://t.co/lCaS4uEPzm https://t.co/stQYNJFS7y pic.twitter.com/P7jG8NHnV4
— BlockSec (@BlockSecTeam) July 30, 2023
Les exploits ont notamment démontré que malgré une concentration des hacks sur les protocoles reposant sur Ethereum, d’autres chaînes comme la BNB Smart Chain n’étaient pas à l’abri. Trois attaques distinctes ont entraîné le vol de crypto-monnaies pour une somme approximative de 73 000 $ sur la BNB Smart Chain.
En parallèle, Curve Finance, frappée par des attaques similaires, a connu des pertes considérables. D’après BlockSec, les pools de liquidités visés ont cumulé des pertes supérieures à 41 millions de dollars.
Ainsi, ces événements simultanés révèlent une insécurité omniprésente dans l’univers DeFi, même parmi les protocoles les plus importants.
Le langage de programmation Vyper : une faille à l’origine d’attaques sur la blockchain
Ainsi, la récente vague d’attaques ciblant les protocoles blockchain tels que BNB Smart Chain et Curve Finance a révélé une faille significative. Cette vulnérabilité trouve sa source dans un dysfonctionnement du verrou de réentrance des versions 0.2.15, 0.2.16 et 0.3.0 de Vyper, un langage de programmation couramment utilisé pour les projets Web3.
It’s a ridiculous logic. The Vyper officially announced the affected versions on UTC 16:44 July 30, and Curve confirmed at 16:45. After that, three attacks happened between 19:08 and 22:00. Do you think these exploits might have been white hacked if they hadn't tweeted and… https://t.co/zY0vDd8IKP pic.twitter.com/btR8K7eKsp
— BlockSec (@BlockSecTeam) July 31, 2023
Créé pour la machine virtuelle Ethereum, ce langage pourrait, de fait, impacter d’autres protocoles se basant sur ces versions spécifiques de Vyper. La divulgation de cette vulnérabilité a provoqué une lutte intense dans la blockchain entre hackers éthiques, appelés whitehats, et pirates malveillants, les “blackhats”.
Leur objectif commun était de perturber les tentatives d’exploit ou de contribuer aux efforts de récupération des fonds. Cependant, leurs intentions étaient diamétralement opposées, les uns cherchant à nuire, les autres à minimiser les dégâts. Cette situation illustre la complexité des enjeux de sécurité dans le monde de la blockchain.
Interventions de c0ffebabe.eth et récupération des fonds
Aussi, un potentiel whitehat, connu sous le pseudonyme de c0ffebabe.eth, semble avoir réussi à récupérer des fonds pour les mettre en sécurité. Le 30 juillet, un message en chaîne a été envoyé, invitant les protocoles concernés à contacter c0ffebabe.eth pour organiser le retour des fonds.
Au total, le portefeuille a recueilli près de 2 900 Ether, équivalant à plus de 5 millions de dollars selon une transaction avec Curve. Une autre transaction a vu c0ffebabe.eth transférer 1 000 ETH vers ce qui semble être un nouveau portefeuille, probablement le portefeuille froid qu’ils avaient mentionné précédemment.
De ce fait, les récentes attaques montrent à nouveau l’importance de la sécurité dans le secteur de la DeFi et montrent la nécessité d’une vigilance constante face à des exploits toujours plus sophistiqués.
Source : CoinTelegraph
Sur le même sujet :
- Un hack de 3.4 millions de dollars sur le plus gros protocole de prêt de ZkSync
- Un hack de 23 millions de dollars sur le portefeuille Alphapo
- Breaking : Conic Finance a été hacké pour 3.2 millions de dollars en ETH