Curve Finance attribue 250 000 $ au chercheur qui découvre un bug critique

Curve Finance, une plateforme financière décentralisée de premier plan, a récemment récompensé un chercheur en sécurité pour avoir découvert une vulnérabilité critique dans son système. La vulnérabilité, découverte par Marco Croc de Kupia Security, aurait pu permettre aux pirates informatiques de manipuler les soldes et de retirer des fonds des pools de liquidités de Curve Finance. Curve Finance a mené une enquête approfondie et a attribué au chercheur une prime de bug maximale pour sa contribution.

Curve Finance Rewards Researcher for Critical Vulnerability Discovery

Curve Finance récompense un chercheur pour la découverte de vulnérabilités critiques

Jakarta, Indonesia - In a significant development, Curve Finance, a prominent decentralized finance (DeFi) platform, has bestowed a reward of 250 thousand US dollars (approximately IDR 4,063,750,000) to Marco Croc, a security researcher from Kupia Security. Croc's astute discovery of a critical vulnerability within Curve Finance's system has garnered widespread attention and underscored the importance of robust cybersecurity measures in the realm of decentralized finance.

Jakarta, Indonésie - Dans le cadre d'un développement important, Curve Finance, une importante plateforme de finance décentralisée (DeFi), a accordé une récompense de 250 000 dollars américains (environ 4 063 750 000 IDR) à Marco Croc, chercheur en sécurité chez Kupia Security. La découverte astucieuse par Croc d'une vulnérabilité critique au sein du système Curve Finance a attiré une large attention et a souligné l'importance de mesures de cybersécurité robustes dans le domaine de la finance décentralisée.

Vulnerability Potential for Manipulation and Theft

Potentiel de vulnérabilité pour la manipulation et le vol

The reentrancy vulnerability unearthed by Marco Croc possesses the ability to empower malicious actors with the means to manipulate account balances and siphon funds from Curve Finance's liquidity pools. Such a scenario poses substantial risks to the platform's ecosystem, prompting Curve Finance to swiftly initiate a comprehensive investigation and extend the maximum bug bounty récompense to the researcher as a token of appreciation for their invaluable contribution.

La vulnérabilité de réentrance découverte par Marco Croc possède la capacité de donner aux acteurs malveillants les moyens de manipuler les soldes des comptes et de siphonner les fonds des pools de liquidités de Curve Finance. Un tel scénario pose des risques substantiels pour l'écosystème de la plateforme, incitant Curve Finance à lancer rapidement une enquête approfondie et à accorder la récompense maximale du bug bounty au chercheur en guise de remerciement pour sa précieuse contribution.

Importance of Responsible Hacking Ethics

Importance d’une éthique de piratage responsable

While the vulnerability was not deemed to be of great severity, Curve Finance acknowledges that security incidents, regardless of their perceived magnitude, have the potential to generate apprehension among users. Consequently, the récompense serves as an incentive to foster responsible hacking ethics, thereby buttressing the defenses of the protocol against future exploitation attempts.

Bien que la vulnérabilité n'ait pas été jugée d'une grande gravité, Curve Finance reconnaît que les incidents de sécurité, quelle que soit leur ampleur perçue, peuvent potentiellement susciter l'appréhension des utilisateurs. Par conséquent, la récompense sert d’incitation à promouvoir une éthique de piratage responsable, renforçant ainsi les défenses du protocole contre de futures tentatives d’exploitation.

Post-Attack Recovery Efforts

Efforts de rétablissement post-attaque

This récompense is an integral aspect of Curve Finance's recovery strategy following a US$ 62 million attack in July. In an effort to restore the trust and assets of liquidity providers, the protocol recently conducted a vote to replace US$ 49.2 million (approximately IDR 799,644,000,0001) of lost assets. The proposal was overwhelmingly supported by 94% of Curve DAO (CRV) token holders, encompassing losses incurred across various pools, including JPEGd (JPEG), Alchemix (ALCX), and Metronome (MET).

Cette récompense fait partie intégrante de la stratégie de redressement de Curve Finance suite à une attaque de 62 millions de dollars US en juillet. Dans le but de restaurer la confiance et les actifs des fournisseurs de liquidité, le protocole a récemment organisé un vote pour remplacer 49,2 millions de dollars américains (environ 799 644 000 0001 IDR) d'actifs perdus. La proposition a été massivement soutenue par 94 % des détenteurs de jetons Curve DAO (CRV), englobant les pertes subies dans divers pools, notamment JPEGd (JPEG), Alchemix (ALCX) et Metronome (MET).

Replacement Plan Details

Détails du plan de remplacement

The replacement plan outlines the utilization of CRV tokens from community funds, coupled with the inclusion of tokens successfully recovered since the incident. Consequently, the final distribution will entail the disbursement of 55,544,782.73 CRV, with the computed amount of Ethereum (ETH) and CRV to be retrieved being 5,919.2226 ETH and 34,733,171.51 CRV, respectively.

Le plan de remplacement décrit l'utilisation des jetons CRV provenant des fonds communautaires, associée à l'inclusion des jetons récupérés avec succès depuis l'incident. Par conséquent, la distribution finale entraînera le décaissement de 55 544 782,73 CRV, le montant calculé d'Ethereum (ETH) et de CRV à récupérer étant respectivement de 5 919,2226 ETH et 34 733 171,51 CRV.

Technical Details of Vulnerability

Détails techniques de la vulnérabilité

As reported by Cryptonews, the vulnerability exploited by the perpetrators specifically targeted the liquidity pool mechanism designed to maintain stability. The vulnerability was found to be present in specific versions of the Vyper programming language (0.2.15, 0.2.16, and 0.3.0), enabling unauthorized withdrawal of funds through reentrancy attacks.

Comme le rapporte Cryptonews, la vulnérabilité exploitée par les auteurs ciblait spécifiquement le mécanisme de pool de liquidités conçu pour maintenir la stabilité. La vulnérabilité s'est avérée présente dans des versions spécifiques du langage de programmation Vyper (0.2.15, 0.2.16 et 0.3.0), permettant un retrait non autorisé de fonds via des attaques de réentrée.

Conclusion

Conclusion

The discovery of this vulnerability and the subsequent reward to the responsible researcher underscore the criticality of cybersecurity measures in the burgeoning DeFi ecosystem. Curve Finance's commitment to responsible hacking ethics and proactive incident response serves as a testament to the importance of collaboration between security researchers and organizations in safeguarding the interests of users and maintaining the integrity of decentralized finance platforms.

La découverte de cette vulnérabilité et la récompense qui en résulte pour le chercheur responsable soulignent l’importance des mesures de cybersécurité dans l’écosystème DeFi en plein essor. L'engagement de Curve Finance en faveur d'une éthique de piratage responsable et d'une réponse proactive aux incidents témoigne de l'importance de la collaboration entre les chercheurs en sécurité et les organisations pour protéger les intérêts des utilisateurs et maintenir l'intégrité des plateformes financières décentralisées.