QUEBRANDO: Pool de financiamento de curva explorado por mais de US$ 47 milhões devido à vulnerabilidade de reentrada

Atualização (30 de julho, 19h55 UTC): Este artigo foi atualizado para fornecer mais detalhes sobre a exploração
Em 30 de julho, vários pools estáveis ​​na Curve Finance usando Vyper foram explorados, resultando em perdas de mais de US$ 47 milhões. De acordo com Vyper, suas versões 0.2.15, 0.2.16 e 0.3.0 são vulneráveis ​​a um bloqueio de reentrada defeituoso.
“A investigação está em andamento, mas qualquer projeto que dependa dessas versões deve entrar em contato conosco imediatamente”, escreveu Vyper no X. De acordo com uma análise dos contratos afetados pela empresa de segurança Ancilia, 136 contratos usam Vyper 0.2.15 e proteção de reentrada, 98 contratos usam Vyper 0.2.16 e 226 contratos usam Vyper 0.3.0.
Muitos pools estáveis ​​(alETH/msETH/pETH) usando Vyper 0.2.15 foram explorados devido a uma falha no bloqueio de reentrada. Estamos avaliando a situação e atualizaremos a comunidade à medida que as coisas evoluem. Outras piscinas são seguras. https://t.co/eWy2d3cDDj
– Curve Finance (@CurveFinance) 30 de julho de 2023
De acordo com a investigação preliminar, algumas versões do compilador Vyper não implementam adequadamente a proteção contra reentrada, o que pode impedir a execução simultânea de múltiplas funções, bloqueando o contrato. Um ataque de reentrada poderia drenar todos os fundos de um contrato.
Vyper é uma linguagem de programação Python orientada a contratos para a Máquina Virtual Ethereum (EVM). As semelhanças do Vyper com o Python tornam a linguagem um dos pontos de partida para os desenvolvedores Python entrarem na Web3.
Muitos projetos financeiros descentralizados foram afetados pelo ataque. Exchange descentralizada Ellipsis relatou alavancar um pequeno número de pools estáveis ​​com BNB usando o antigo compilador Vyper. O alETH-ETH da Alchemix também registrou saídas de US$ 13,6 milhões, junto com US$ 11,4 milhões do pool pETH-ETH do JPEGd e US$ 1,6 milhão do pool sETH-ETH do Metronome. O CEO da Curving Finance, Michael Egorov, confirmou mais tarde que 32 milhões de tokens CRV no valor de mais de US$ 22 milhões foram esgotados do pool de troca do canal Telegram.
Certos tipos de pools de fábrica Curve encontraram ataques de reentrada somente leitura, resultando em perdas totais de US$ 11 milhões (@JPEGd_69) + US$ 13 milhões (@AlchemixFi) + ... A investigação preliminar descobriu que o compilador vyper (0.2.15) não implementou reentrada corretamente Proteção de ingresso. add_liquidez… pic.twitter.com/avaHdtSFsm
-Tony Ke (@tonyke_bot) 30 de julho de 2023
A vulnerabilidade gerou pânico em todo o ecossistema DeFi, desencadeando uma onda de transações entre pools e operações de resgate de chapéu branco. Dados do CoinMarketCap mostram que o token utilitário Curve DAO (CRV) da Curve Finance caiu mais de 5% com a notícia. Conforme relatado pelo Cointelegraph, a liquidez da CRV caiu significativamente nos últimos meses, deixando-a vulnerável a fortes oscilações de preços. De acordo com a Curve Finance, nem o contrato crvUSD nem qualquer um de seus pools foram afetados pelo ataque.
Curve Finance é um protocolo DeFi que permite uma troca descentralizada (DEX) de stablecoins dentro do Ethereum. O protocolo tem sido alvo de uma série de eventos dentro do seu ecossistema. Há poucos dias, sua plataforma abrangente Conic Finance foi explorada com US$ 3,26 milhões em Ethereum (ETH), com quase todo o valor roubado enviado para um novo endereço Ethereum em uma única transação.
Os protocolos DeFi foram alvo de vários ataques nos últimos meses. De acordo com um relatório do aplicativo de portfólio Web3 De.Fi, mais de US$ 204 milhões foram fraudados por meio de hacks e golpes de DeFi somente no segundo trimestre de 2023.
Revista: Os projetos de criptografia devem negociar com hackers? possível
Autor: Shenlian DCNews
Compilador: Irmã Shen
Twitter: DeepChain
Twitter：https://twitter.com/DeepChainUS