Curve Finance TVL perd plus d'un milliard de dollars en raison de l'exploit de Vyper

Après l'attaque, le jeton CRV de Curve est devenu très volatil, faisant craindre une contagion.

Selon les données de DeFiLlama, la valeur totale des actifs enfermés dans le protocole financier décentralisé Curve Finance (CRV) a chuté de près de 50 % au cours des dernières 24 heures, passant de 3,26 milliards de dollars enregistrés le 30 juillet à 1,731 milliard de dollars.

La sortie de fonds peut être attribuée à l'exploitation du protocole, qui a accru les craintes de liquidations et de créances irrécouvrables parmi les membres de la communauté, qui ont immédiatement retiré les actifs du projet crypto.

Source : DéfiLlama

La vulnérabilité de Vyper affecte Curve Finance

Le 30 juillet, une "vulnérabilité de verrouillage de réentrance" défectueuse a été découverte sur plusieurs versions du langage de contrat intelligent Ethereum (ETH) Virtual Machine (EVM) Vyper. Le langage de programmation a confirmé l'incident, révélant que les projets de chiffrement exécutant Vyper 0.2.15, 0.2.16 et 0.3.0 pourraient être affectés.

Suite à la nouvelle, Curve Finance a déclaré que certains de ses pools de minage stables exécutant Vyper 0.2.15 exploitaient une vulnérabilité d'échec de verrouillage de réentrance.

L'attaque de réentrance permet à un attaquant de drainer les fonds d'un contrat vulnérable en appelant à plusieurs reprises la fonction de retrait avant de mettre à jour le solde, et cette attaque est couramment utilisée pour exploiter plusieurs protocoles DeFi.

La société de sécurité Blockchain BlockSec a déclaré que les attaques de réentrance pourraient présenter un risque potentiel pour tous les pools miniers avec de l'éther enveloppé (WETH).

Bien qu'il ne soit pas clair combien a été volé dans le pool de pièces stables de Curve Finance, certaines estimations suggèrent que jusqu'à 70 millions de dollars pourraient avoir été volés.

Cependant, le développeur de MetaMask, Taylor Monahan, a souligné "beaucoup d'activité de chapeau blanc + robots MEV automatisés", ce qui signifie qu'il pourrait y en avoir moins.

Réservoir de prix CRV

Selon les données, le bogue a rendu le jeton CRV de Curve très volatil, son prix chutant d'environ 15 % à 0,64707 $ au moment de la rédaction.

Pendant ce temps, la valeur en chaîne de CRV a chuté à un minimum de 0,109 $ alors que la liquidité diminuait après l'attaque du pool CRV / ETH.

L'échange de crypto-monnaie sud-coréen Upbit a suspendu les dépôts et les retraits du jeton, citant un bogue trouvé sur la plateforme du projet DeFi. La bourse a en outre averti que le prix du CRV "connaît une volatilité importante".

Problèmes de créances irrécouvrables et d'étalement

Étant donné que les pirates détiennent une grande quantité de CRV, on craint que s'ils commencent à vendre, le prix du jeton ne baisse davantage. Cela crée un risque de contagion, car le fondateur de Curve, Michael Egorov, utilise le jeton comme garantie sur plusieurs protocoles de prêt, dont Aave.

Étant donné qu'Egorov a plus de 100 millions de dollars en CRV en garantie sur Aave, Inverse et Abracadabra, une liquidation résultant d'une baisse des prix du CRV affectera Curve et tous les protocoles.

Pour éviter la liquidation, Egorov a remboursé une partie du prêt. Cependant, cela peut ne pas empêcher les créances irrécouvrables et les effets d'entraînement sur d'autres accords de prêt auxquels Curve est exposée.

Dans le même temps, la version Aave Ethereum v2 a fermé la fonction de prêt CRV. Selon les rapports, cela empêchera probablement les commerçants d'utiliser la vulnérabilité Curve pour paniquer et court-circuiter de manière malveillante le CRV emprunté pour promouvoir la liquidation en série.