Actualización (30 de julio, 7:55 p.m. UTC): este artículo se actualizó para brindar más detalles sobre el exploit.
El 30 de julio, se explotaron varios grupos estables en Curve Finance utilizando Vyper, lo que resultó en pérdidas de más de 47 millones de dólares. Según Vyper, sus versiones 0.2.15, 0.2.16 y 0.3.0 son vulnerables a un bloqueo de reentrada defectuoso.
"La investigación está en curso, pero cualquier proyecto que dependa de estas versiones debe contactarnos de inmediato", escribió Vyper en X. Según un análisis de los contratos afectados realizado por la firma de seguridad Ancilia, 136 contratos usan Vyper 0.2.15 y protección de reentrada, 98 contratos usan Vyper 0.2.16 y 226 contratos usan Vyper 0.3.0.
Muchos grupos estables (alETH/msETH/pETH) que utilizan Vyper 0.2.15 han sido explotados debido a un problema de bloqueo de reentrada. Estamos evaluando la situación y actualizaremos a la comunidad a medida que se desarrollen las cosas. Otras piscinas son seguras. https://t.co/eWy2d3cDDj
– Curve Finance (@CurveFinance) 30 de julio de 2023
Según una investigación preliminar, algunas versiones del compilador Vyper no implementan adecuadamente la protección de reentrada, lo que puede impedir que se ejecuten múltiples funciones simultáneamente al bloquear el contrato. Un ataque de reentrada podría agotar todos los fondos de un contrato.
Vyper es un lenguaje de programación pitónico orientado a contratos para la máquina virtual Ethereum (EVM). Las similitudes de Vyper con Python hacen del lenguaje uno de los puntos de partida para que los desarrolladores de Python ingresen a Web3.
Muchos proyectos financieros descentralizados se han visto afectados por el ataque. El intercambio descentralizado Ellipsis informó que aprovechaba una pequeña cantidad de grupos estables con BNB utilizando el antiguo compilador Vyper. AlETH-ETH de Alchemix también registró salidas de 13,6 millones de dólares, junto con 11,4 millones de dólares del grupo pETH-ETH de JPEGd y 1,6 millones de dólares del grupo sETH-ETH de Metronome. El director ejecutivo de Curving Finance, Michael Egorov, confirmó más tarde que 32 millones de tokens CRV por valor de más de 22 millones de dólares se habían agotado del fondo de intercambio del canal Telegram.
Ciertos tipos de grupos de fábrica de Curve sufrieron ataques de reentrada de solo lectura, lo que resultó en pérdidas totales de $11 millones (@JPEGd_69) + $13 millones (@AlchemixFi) +... La investigación preliminar encontró que el compilador vyper (0.2.15) no implementó reentrada correctamente Protección de ingreso. agregar_liquidez… pic.twitter.com/avaHdtSFsm
– Tony Ke (@tonyke_bot) 30 de julio de 2023
La vulnerabilidad provocó pánico en todo el ecosistema DeFi, desencadenando una ola de transacciones entre grupos y operaciones de rescate de sombrero blanco. Los datos de CoinMarketCap muestran que el token de utilidad Curve DAO (CRV) de Curve Finance cayó más del 5% tras la noticia. Como informó Cointelegraph, la liquidez de CRV ha disminuido significativamente en los últimos meses, dejándolo vulnerable a fuertes oscilaciones de precios. Según Curve Finance, ni el contrato crvUSD ni ninguno de sus grupos se vieron afectados por el ataque.
Curve Finance es un protocolo DeFi que permite un intercambio descentralizado (DEX) de monedas estables dentro de Ethereum. El protocolo ha sido objeto de una serie de eventos dentro de su ecosistema. Hace apenas unos días, su plataforma integral Conic Finance fue explotada con $3,26 millones en Ethereum (ETH), y casi la totalidad del monto robado se envió a una nueva dirección de Ethereum en una sola transacción.
Los protocolos DeFi han sido objeto de múltiples ataques en los últimos meses. Según un informe de la aplicación de cartera Web3 De.Fi, solo en el segundo trimestre de 2023 se defraudaron más de 204 millones de dólares mediante hacks y estafas de DeFi.
Revista: ¿Deberían los proyectos criptográficos negociar con los piratas informáticos? posible
Autor: Shenlian DCNoticias
Compilador: Hermana Shen
Gorjeo: cadena profunda
Twitter: https://twitter.com/DeepChainUS