Aktualizace (30. července, 19:55 UTC): Tento článek byl aktualizován, aby poskytoval další podrobnosti o exploitu
30. července bylo využito několik stabilních fondů na Curve Finance pomocí Vyper, což vedlo ke ztrátám přes 47 milionů $. Podle Vyperu jsou jeho verze 0.2.15, 0.2.16 a 0.3.0 zranitelné vůči vadnému reentrancy zámku.
"Vyšetřování probíhá, ale jakékoli projekty spoléhající na tyto verze by nás měly okamžitě kontaktovat," napsal Vyper na X. Podle analýzy dotčených smluv bezpečnostní firmou Ancilia používá 136 smluv Vyper 0.2.15 a ochranu proti opětovnému vstupu, 98 smluv používá Vyper 0.2.16 a 226 smluv používá Vyper 0.3.0.
Mnoho stabilních fondů (alETH/msETH/pETH) využívajících Vyper 0.2.15 bylo zneužito kvůli závadě zámku pro opakovaný vstup. Situaci vyhodnocujeme a podle vývoje budeme komunitu aktualizovat. Ostatní bazény jsou bezpečné. https://t.co/eWy2d3cDDj
— Curve Finance (@CurveFinance) 30. července 2023
Podle předběžného vyšetřování některé verze kompilátoru Vyper správně neimplementují ochranu proti opětovnému vstupu, která zablokováním smlouvy zabraňuje současnému provádění více funkcí. Reentrancy útok by mohl vysát všechny finanční prostředky ve smlouvě.
Vyper je smluvní pythonic programovací jazyk pro virtuální stroj Ethereum (EVM). Díky podobnosti Vyperu s Pythonem je jazyk jedním z výchozích bodů pro vývojáře Pythonu, jak se dostat do Web3.
Útokem bylo zasaženo mnoho decentralizovaných finančních projektů. Decentralizovaná burza Ellipsis oznámila využití malého počtu stabilních fondů s BNB pomocí starého kompilátoru Vyper. AlETH-ETH společnosti Alchemix také zaznamenal odliv 13,6 milionu dolarů spolu s 11,4 miliony dolarů z fondu pETH-ETH společnosti JPEGd a 1,6 milionu dolarů z fondu sSETH-ETH společnosti Metronome. Generální ředitel Curving Finance Michael Egorov později potvrdil, že z výměnného fondu kanálu Telegram bylo vyčerpáno 32 milionů tokenů CRV v hodnotě přes 22 milionů USD.
Určité typy továrních fondů Curve se setkaly s reentrancy útokem pouze pro čtení, což vedlo k celkové ztrátě 11 milionů $ (@JPEGd_69) + 13 milionů $ (@AlchemixFi) + ... Předběžné šetření zjistilo, že kompilátor vyper (0.2.15) ano neimplementuje správně reentrancy Ochrana proti vniknutí. add_liquidity… pic.twitter.com/avaHdtSFsm
— Tony Ke (@tonyke_bot) 30. července 2023
Tato zranitelnost vyvolala paniku v celém ekosystému DeFi a spustila vlnu transakcí napříč fondy a záchranných operací bílého klobouku. Data z CoinMarketCap ukazují, že token Curve Finance Curve DAO (CRV) díky zprávám klesl o více než 5 %. Jak uvádí Cointelegraph, likvidita CRV v posledních měsících výrazně klesla, takže je zranitelná vůči prudkým cenovým výkyvům. Podle Curve Finance nebyl útok zasažen ani kontrakt crvUSD, ani žádný z jeho poolů.
Curve Finance je protokol DeFi, který umožňuje decentralizovanou výměnu (DEX) stablecoinů v rámci Etherea. Protokol se stal cílem řady událostí v rámci svého ekosystému. Jen před pár dny byla její komplexní platforma Conic Finance zneužita s 3,26 miliony dolarů v Ethereu (ETH), přičemž téměř celá ukradená částka byla odeslána na novou Ethereum adresu v jediné transakci.
Protokoly DeFi byly v posledních několika měsících terčem mnoha útoků. Podle zprávy aplikace De.Fi z portfolia Web3 bylo jen ve druhém čtvrtletí roku 2023 podvedeno více než 204 milionů dolarů prostřednictvím hacků a podvodů DeFi.
Magazín: Měly by krypto projekty vyjednávat s hackery? možný
Autor: Shenlian DCNews
Kompilátor: Sestra Shen
Twitter: DeepChain
Twitter: https://twitter.com/DeepChainUS