🔴 DIRECT : Toutes les infos sur la faille posant des risques sur les principaux protocoles DeFi (Curve, Aave…)

Dernière modification effectuée le 15.09.2023 15:23

6 août : Curve récupère 73% des fonds volés et met en place une prime publique

Le hacker et et quelques whitehats ont restitué environ 73% de tous les fonds volés à Curve Finance après l’attaque survenue au début du mois d’août.

Plus de 18 millions de dollars de fonds volés sont encore dans la nature, et Curve a ouvert la prime au public dans la nuit de dimanche à lundi.

4 août : Le hacker semble vouloir restituer 90% des fonds volés

Les protocoles exploités ont offert au hacker une prime de 10% pour la restitution du reste des actifs jusqu’au 6 août. Il semblerait que le responsable du hack souhaite accepter cette offre. En effet, dans un message lié à une transaction de la blockchain Ethereum, le hacker a demandé à Alchemix, l’une des victimes du vol, de confirmer l’adresse du protocole où il pourrait restituer les actifs. Peu après, il a transféré près de 10 millions de dollars d’éther (ETH) et d’alETH dans le portefeuille multisignature d’Alchemix en plusieurs transactions, comme le montrent les données de la blockchain sur Etherscan.

Le prix du CRV, le jeton de gouvernance de Curve, a gagné près de 5% au cours des dernières 24 heures.

4 août : Le fondateur de Curve doit encore 80 millions de dollars

Malgré une levée de fonds de plus de 30 millions de dollars au cours des trois derniers jours, Michael Egorov doit toujours 80 millions de dollars suite aux prêts DeFi contractés plus tôt cette année. En effet, la hausse stratosphérique des taux d’intérêts continue d’effriter ses actifs.

Egorov a levé plus de 30 millions de dollars (retrouvés) en vendant 75 millions de jetons CRV à $0,40 l’unité en moyenne par le biais de ventes de gré à gré (OTC). Cet argent l’a aidé à rembourser une partie – mais pas la totalité – de ses emprunts auprès d’Aave, Abracadabra, FraxLend et Inverse Finance, selon les données de la société d’analyse de la blockchain DeBank.

Malheureusement pour notre intéressé, Abracadabra le force à rembourser son prêt en changeant les conditions de collatéral et d’intérêts.

2 août : Aave devrait stopper l'emprunt de jetons Curve selon la société de gestion du risque Gauntlet

Selon la société spécialisée dans la gestion du risque, Gauntlet, la situation de crise permanente résultant d’une large quantité de jetons Curve (CRV) en collatéral, peut être évitée en interrompant toute activité d'emprunt.

Gauntlet a soumis la proposition aux membres de la communauté Aave, qui ont jusqu’au 5 août pour se prononcer.

1er août : Les market makers sauvent le CRV d’un crash important sur Binance

Les principaux market makers de crypto monnaies sont intervenus sur Binance pour soutenir le jeton natif de Curve, CRV, après que l’attaque sur l’échange décentralisé de dimanche ait fait chuter la crypto-monnaie et menacé la liquidation d’un grand emprunt collatéralisé en CRV par le fondateur du projet et une contagion à l’échelle du marché.

Selon le fournisseur de données cryptographiques Kaiko, la profondeur de marché de 2% du côté de l’offre, c’est-à-dire l’ensemble des ordres d’achat dans un rayon de 2% du prix moyen, a doublé, passant d’environ 500 000 CRV à plus d’un million de CRV à la suite de l’exploit.

31 juillet : Le prix du CRV s’écrase partout dans le monde et s’envole en Corée

La performance du token CRV de la bourse décentralisée axée sur les stablecoins, Curve connait de forts contrastes à travers différents exchanges. Suite à une faille de sécurité dimanche, alors que la valeur en USD du CRV chutait de plus de 15% sur la plupart des bourses occidentales, sa valeur en won coréen (KRW) a grimpé de manière stupéfiante de 500% sur Bithumb, la célèbre bourse d’actifs numériques sud-coréenne.

La chute du CRV amène un énorme risque sur la DeFi

La conséquence de la série de catastrophes dans les pools de liquidité de Curve a été immédiate pour le token CRV : son prix a subit une chute impressionnante qui a apporté une nouvelle inquiétude dans la DeFi.

Cet acte de piratage a sérieusement perturbé les dynamiques de trading du token CRV, natif de Curve DAO. Le token a enregistré une chute abrupte de 15%, s’établissant à 0,62$ lors de la rédaction de cet article. Cette tendance à la baisse pourrait compliquer les choses, menaçant potentiellement de déclencher une liquidation de la position d'emprunt de 70 millions de dollars du fondateur de Curve sur la plateforme Aave.

Ce dernier tente, tant bien que mal, de maintenir sa position en contractant d’autres prêts afin d’effectuer des remboursements de celui-ci, une situation de boucle infinie assez complexe, mais surtout très risquée. Les liquidations en cascades qui se produiraient en cas de malheur pourraient s’avérer catastrophiques pour de nombreux utilisateurs de l’écosystème.

29 juillet : Une faille Vyper entraine un hack de 100 millions de dollars sur les pools de Curve

Curve, échange de stablecoin central de la finance décentralisée (DeFi) sur Ethereum, a signalé une grave faille de sécurité dans la journée de dimanche. L’exploit est dû à un bug de « réentrance » associé à Vyper, le langage de programmation qui anime plusieurs composants du système Curve. Cette faille a mis en péril des actifs en crypto monnaie d’une valeur dépassant 100 millions de dollars. De nombreux pools de stablecoin sur Curve, essentiels pour la liquidité et la tarification de divers services DeFi, ont déjà été pillés par des pirates. De plus, d’autres plateformes utilisant Vyper pourraient être exposées à des menaces similaires.

Étendue de la brèche et répercussions

Si l’ampleur exacte de la perte demeure indéterminée, les premières évaluations estiment les dommages à plus de 45 millions de dollars. Selon son site officiel, Curve possède 232 pools différentes. Toutefois, seules les pools utilisant les versions Vyper 0.2.15, 0.2.16 et 0.3.0 sont concernées, a précisé mimaklas, membre clé de l’équipe, dans une annonce sur Discord. Mimaklas a également indiqué que tous les pools affectées avaient été vidées ou soumises à des mesures de piratage éthique, et des évaluations conjointes sont en cours avec les équipes concernées.