Alors que les attaques de protocoles DeFi se multipliaient durant l’été 2022, une bonne nouvelle est venue ponctuer la série noire. Changpeng Zhao (CZ), patron de Binance, a annoncé avoir récupéré une grande partie des fonds volés sur Curve Finance. Le pirate, lui, n’aura pas conservé son butin bien longtemps.

Au programme : le déroulé du hack frontend de Curve, le gel des fonds par Binance, et ce qu’est devenu le protocole depuis 2022.

Pour rappel, le protocole DeFi de Curve Finance (CRV) a subi un hack de type « frontend » dans la nuit de lundi à mardi. Le nom de domaine (DNS) de son site a été détourné afin de rediriger les utilisateurs vers une page le reproduisant à l’identique. Le fournisseur DNS iwantmyname avait été compromis. Peu après l’attaque, les développeurs ont identifié puis corrigé la source du problème.

Au total, l’opération aura permis au pirate de détourner environ 570 000 $. Mais malheureusement pour lui, il n’aura pas gardé l’intégralité de la somme bien longtemps.

Binance récupère une partie des fonds de Curve

Dans ce contexte, le patron de Binance a affirmé dans une déclaration que sa plateforme, l’une des plus importantes au monde, avait détecté le pirate et réussi à récupérer une partie de la somme.

Binance a en effet gelé puis récupéré 450 000 $ des fonds volés, soit plus de 83 % du montant total dérobé. Après cette annonce, CZ a ironisé sur la situation.

« Le hacker a continué à envoyer les fonds à Binance de différentes manières, pensant que nous ne pouvions pas l’attraper. »

Changpeng Zhao, CEO de Binance.

Lors du piratage, le pirate avait procédé à l’envoi de fonds vers plusieurs plateformes d’échange et mixers. Sauf que les équipes de Binance l’ont rattrapé. CZ a également indiqué collaborer avec les forces de l’ordre pour que chaque utilisateur puisse récupérer ses fonds.

Binance n’était pas la seule plateforme à restituer des cryptomonnaies volées. À la même période, des pirates et des chercheurs ont rendu une valeur estimée à 32,6 millions de dollars en USDC, Tether (USDT) et autres altcoins, à la suite de l’exploit de 190 millions de dollars sur Nomad.

Un hack frontend, pas une faille du protocole

Il est important de distinguer ce type d’attaque d’une faille de smart contract. Ici, le code de Curve n’a pas été touché. C’est l’interface web, le « frontend », qui a été détournée via le système DNS.

Concrètement, les utilisateurs qui se connectaient au vrai domaine étaient redirigés vers un clone. Ce clone leur faisait signer des autorisations vers un contrat malveillant, vidant ensuite leur wallet. Ce schéma s’apparente à du phishing à grande échelle, et rappelle l’importance de révoquer les approbations suspectes.

Ce vecteur d’attaque reste fréquent dans la DeFi, où une application décentralisée en apparence sûre dépend toujours d’une couche d’infrastructure centralisée, comme un registraire de domaine.

Curve frappée de nouveau en 2023

L’épisode de 2022 n’aura pas été le dernier. Fin juillet 2023, Curve a subi une attaque bien plus grave, cette fois au cœur même de ses pools de liquidité. Une faille de réentrance liée à d’anciennes versions du compilateur Vyper a été exploitée.

Le montant dérobé a été chiffré aux alentours de 70 millions de dollars selon les analyses on-chain, affectant plusieurs pools sur Ethereum. Une part notable des fonds, de l’ordre de 73 %, a finalement été restituée par des intervenants white-hat et des pirates négociant une prime.

L’incident a fait chuter la valeur totale verrouillée du protocole de près de moitié en l’espace d’une journée, illustrant la fragilité systémique d’une brique aussi centrale de la DeFi.

Le CRV sous pression depuis 2024

Au-delà des hacks, le token CRV a connu plusieurs épisodes de tension. Le fondateur de Curve, Michael Egorov, a vu ses positions de prêt liquidées en juin 2024, après une chute marquée du cours qui a entraîné une cascade de liquidations sur plusieurs plateformes de lending.

Une dette résiduelle de l’ordre de 10 millions de dollars était alors apparue sur le marché LlamaLend de Curve, avant d’être remboursée. Une nouvelle liquidation partielle a touché Egorov en décembre 2024, signe de la pression durable sur le CRV.

Sur le plan structurel, l’émission de CRV continue de décroître selon le calendrier codé en dur du protocole, réduisant progressivement la pression inflationniste sur le token.

Que retenir de l’affaire en 2026

Le sauvetage de 2022 reste un cas d’école : une plateforme centralisée a pu intercepter des fonds volés sur un protocole décentralisé, parce que le pirate a cherché à les déposer chez elle. C’est aussi la limite de l’exercice, qui ne fonctionne que si l’attaquant transite par un exchange centralisé coopératif.

Pour un investisseur, ces épisodes rappellent quelques réflexes : ne jamais signer une approbation sans la comprendre, conserver ses actifs sur un wallet maîtrisé, et suivre l’humeur du marché via des indicateurs comme le Fear and Greed Index ou la heatmap des cryptos.

Pour suivre l’écosystème DeFi et les incidents de sécurité, la catégorie Hacks et Sécurité et la catégorie DeFi regroupent l’actualité du secteur. Et pour estimer la valeur de vos positions, le convertisseur crypto reste un outil pratique.

Sources

Nous ajouter à vos sources préférées sur Google