Lors du dernier week-end de juillet, un pirate s’est attaqué à Curve Finance, un protocole de la finance décentralisée. D’après les dernières estimations, le hacker est parvenu à voler plus de 50 millions de dollars en exploitant une faille dans le langage de programmation des contrats intelligents, qui régissent les échanges sur la blockchain.
Plusieurs pools de liquidités ont été siphonnées durant l’attaque. Le pirate a notamment dérobé des dizaines de milliers d’Ether et des tokens CRV. L’opération a provoqué une réaction en chaîne et mis la pression sur le monde de la finance décentralisée. Le cours du token CRV s’est brusquement effondré, mettant en danger les investisseurs ayant emprunté des fonds, dont le PDG et fondateur de Curve Finance, Michael Egorov.
À lire aussi : pourquoi les pirates changent de stratégie pour voler des cryptomonnaies
Plus de 12 millions de dollars restitués
Plusieurs jours après l’attaque, le hacker, resté silencieux jusqu’ici, s’est mis à rendre les fonds volés. Celui-ci a en effet restitué les cryptomonnaies subtilisées dans le pool de Alchemix Finance, un autre protocole de la DeFi, sur la plateforme Curve. Sur son compte X, le protocole annonce que « tous les fonds volés par le pirate sur le pool Alchemix de Curve Finance ont maintenant été restitués ». En clair, le pirate a renvoyé 12,487 millions de dollars à l’une de ses victimes.
We are extremely happy to announce that all funds stolen by the hacker of the Alchemix @CurveFinance pool have now been returned.
Full post mortem coming.
— Alchemix (@AlchemixFi) August 5, 2023
Dans un message laissé sur la blockchain Ethereum, le voleur précise qu’il ne rend pas l’argent pour toucher une récompense. Pour récupérer une partie des cryptos disparues, Alchemix avait en effet promis 10 % du butin au cybercriminel. Il s’agit d’une concession habituelle dans le monde de la DeFi. Cette stratégie permet parfois de retrouver l’essentiel des devises numériques subtilisées en négociant avec le hacker.
« J’ai vu des points de vue stupides, alors je tiens à préciser que je vous rembourse non pas parce que vous pouvez me retrouver, mais parce que je ne veux pas ruiner votre projet, c’est peut-être beaucoup d’argent pour beaucoup de gens, mais pas pour moi, je suis plus intelligent que vous tous », déclare le pirate, dont l’identité et les motivations sont toujours inconnues.
En parallèle, l’attaquant a également rendu plus de 10 millions de dollars à JPEG’d, un autre protocole touché par le hack. Celui-ci a versé une prime de 10 % à l’individu à l’origine du piratage comme promis.
Un remboursement partiel
Pour le moment, les autres protocoles touchés, à savoir Curve Finance et Metronome, n’ont pas encore reçu le moindre remboursement. En miroir d’Alchemix, Curve a pourtant offert une prime de 10 % à l’attaquant. Le pirate a fait la sourde oreille et la date limitée fixée par Curve a finalement expiré. L’offre du protocole est désormais caduque… et l’affaire sera réglée devant la justice :
« Nous étendons maintenant la prime au public et offrons une récompense évaluée à 10 % des fonds exploités restants (actuellement 1,85 million de dollars US) à la personne qui est capable d’identifier le voleur d’une manière qui conduit à une condamnation devant les tribunaux ».
L’équipe de Curve Finance est bien décidée à traîner le hacker devant les tribunaux. Le pirate peut toujours éviter des déboires judiciaires en restituant l’intégralité des fonds volés. Persuadé d’être intouchable, il n’a pas encore répondu à l’offre de conciliation de Curve. Pour le moment, rien n’indique cependant qu’il soit possible de remonter jusqu’à l’identité ou la localisation du cybercriminel.
The deadline for the CRV/ETH exploiter passeshttps://t.co/VphQ0bfYr2 pic.twitter.com/x8LP9Tx4rs
— Curve Finance (@CurveFinance) August 6, 2023
Ce n’est pas la première fois qu’un hacker accepte de rendre les cryptomonnaies volées lors d’un hack. On se souviendra par exemple de l’affaire Poly Network. En 2021, un pirate a siphonné plus de 600 millions de dollars en s’attaquant à un protocole DeFi. Mis sous pression par les découvertes de plusieurs experts en sécurité, il s’est vite engagé à rendre le pactole. Il a aussi prétendu qu’il avait toujours prévu de restituer les fonds dérobés. Le cambriolage aurait été perpétré dans le seul but de révéler les faiblesses de Poly Network. Par la suite, Poly Network a même offert un emploi de consultant en sécurité au pirate. Celui-ci a préféré décliner la proposition, ainsi qu’une prime s’élevant à 500 000 dollars.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.