Des chercheurs découvrent une faille critique dans le protocole cryptographique et gagnent 250 000 $

Le chercheur en sécurité Marco Croc a reçu une récompense de 250 000 $ pour avoir découvert une vulnérabilité dans Curve Finance, qui aurait pu permettre aux pirates d'exploiter des millions de dollars. La vulnérabilité, un bug de réentrée, a permis la manipulation des soldes et le retrait de fonds des pools de liquidité. Curve Finance a reconnu la gravité de la faille et a accordé à Croc sa prime de bug maximale.

Researcher Uncovers Critical Crypto Protocol Vulnerability, Earns $250,000 Bounty

Un chercheur découvre une vulnérabilité critique du protocole cryptographique et gagne une prime de 250 000 $

New York, NY - [Date] - Security researcher Marco Croc, operating under the pseudonym Kupia Security, has been bestowed with a $250,000 bug bounty for identifying a reentrancy vulnerability within the Curve Finance decentralized finance (DeFi) protocol. This flaw has been implicated in several high-profile crypto hacks, resulting in the illicit withdrawal of millions of dollars.

New York, NY - [Date] - Le chercheur en sécurité Marco Croc, opérant sous le pseudonyme de Kupia Security, a reçu une prime de bug de 250 000 $ pour avoir identifié une vulnérabilité de réentrée dans le protocole de finance décentralisée (DeFi) de Curve Finance. Cette faille a été impliquée dans plusieurs piratages cryptographiques très médiatisés, entraînant le retrait illicite de millions de dollars.

In a detailed analysis posted on the X thread, Croc laid bare the mechanics of the bug, demonstrating how it could be exploited to manipulate account balances and extract funds from liquidity pools. Curve Finance promptly acknowledged the existence of potential security flaws and deemed the vulnerability to be of utmost severity.

Dans une analyse détaillée publiée sur le fil de discussion X, Croc a dévoilé les mécanismes du bug, démontrant comment il pourrait être exploité pour manipuler les soldes des comptes et extraire des fonds des pools de liquidités. Curve Finance a rapidement reconnu l'existence de failles de sécurité potentielles et a considéré la vulnérabilité comme étant de la plus haute gravité.

Following a thorough investigation, Curve Finance awarded Croc the maximum allowable bug bounty of $250,000. "Curve recognized the severity of the vulnerability and acted swiftly to address it," Croc remarked.

Après une enquête approfondie, Curve Finance a accordé à Croc la prime de bug maximale autorisée de 250 000 $. "Curve a reconnu la gravité de la vulnérabilité et a agi rapidement pour y remédier", a fait remarquer Croc.

Despite the critical nature of the flaw, Curve Finance expressed confidence that its security infrastructure would have mitigated any potential losses. Nonetheless, the protocol emphasized the potentially severe consequences of a full-blown security breach.

Malgré la nature critique de la faille, Curve Finance s'est dit convaincu que son infrastructure de sécurité aurait atténué les pertes potentielles. Néanmoins, le protocole a souligné les conséquences potentiellement graves d’une véritable faille de sécurité.

"While we believe our system would have ultimately recovered the funds in case of a breach, any security incident has the potential to cause significant panic in the market," Curve Finance stated.

"Bien que nous pensons que notre système aurait finalement récupéré les fonds en cas de violation, tout incident de sécurité peut potentiellement provoquer une panique importante sur le marché", a déclaré Curve Finance.

This revelation comes on the heels of Curve Finance's recovery from a $62 million hack in July 2022. In response to the incident, the protocol implemented a reimbursement plan totaling $49.2 million in assets to liquidity providers (LPs).

Cette révélation fait suite au rétablissement de Curve Finance après un piratage de 62 millions de dollars en juillet 2022. En réponse à l'incident, le protocole a mis en place un plan de remboursement totalisant 49,2 millions de dollars d'actifs aux fournisseurs de liquidité (LP).

On-chain data reveals that 94% of tokenholders approved the disbursement of over $49.2 million to compensate for losses incurred by the Curve, JPEG'd (JPEG), Alchemix (ALCX), and Metronome (MET) pools. The Curve DAO (CRV) tokens were allocated from the community fund, and the final payout accounted for the tokens retrieved since the hack.

Les données en chaîne révèlent que 94 % des détenteurs de jetons ont approuvé le décaissement de plus de 49,2 millions de dollars pour compenser les pertes subies par les pools Curve, JPEG'd (JPEG), Alchemix (ALCX) et Metronome (MET). Les jetons Curve DAO (CRV) ont été alloués à partir du fonds communautaire et le paiement final représentait les jetons récupérés depuis le piratage.

"The overall ETH (ETH) to recover was calculated as 5919.2226 ETH, the CRV to recover was calculated as 34,733,171.51 CRV, and the total to distribute was calculated as 55'544'782.73 CRV," the proposal outlined.

"L'ETH global (ETH) à récupérer a été calculé à 5919,2226 ETH, le CRV à récupérer a été calculé à 34 733 171,51 CRV et le total à distribuer a été calculé à 55 544 782,73 CRV", indique la proposition.

The vulnerability exploited by the attacker stemmed from stable pools that utilized certain versions of the Vyper programming language. Versions 0.2.15, 0.2.16, and 0.3.0 were found to be susceptible to reentrancy attacks, a common tactic used in DeFi hacks.

La vulnérabilité exploitée par l'attaquant provenait de pools stables utilisant certaines versions du langage de programmation Vyper. Les versions 0.2.15, 0.2.16 et 0.3.0 se sont révélées sensibles aux attaques de réentrée, une tactique courante utilisée dans les hacks DeFi.

Croc's discovery underscores the ongoing challenges faced by the crypto industry in guarding against cyber threats. While protocols like Curve Finance invest heavily in security measures, vulnerabilities can still arise, putting user funds at risk.

La découverte de Croc souligne les défis constants auxquels est confrontée l'industrie de la cryptographie pour se prémunir contre les cybermenaces. Même si des protocoles tels que Curve Finance investissent massivement dans des mesures de sécurité, des vulnérabilités peuvent toujours survenir, mettant en danger les fonds des utilisateurs.

The $250,000 bounty awarded to Croc serves as a testament to the importance of responsible disclosure and ethical hacking in safeguarding the crypto ecosystem. By uncovering and reporting critical flaws, researchers like Croc play a vital role in protecting the integrity of the industry and ensuring the safety of user assets.

La prime de 250 000 $ accordée à Croc témoigne de l’importance de la divulgation responsable et du piratage éthique dans la sauvegarde de l’écosystème cryptographique. En découvrant et en signalant les failles critiques, des chercheurs comme Croc jouent un rôle essentiel dans la protection de l'intégrité de l'industrie et dans la garantie de la sécurité des actifs des utilisateurs.