Actualizare (30 iulie, 19:55 UTC): Acest articol a fost actualizat pentru a oferi mai multe detalii despre exploit
Pe 30 iulie, au fost exploatate mai multe pool-uri stabile de pe Curve Finance folosind Vyper, rezultând pierderi de peste 47 milioane USD. Potrivit lui Vyper, versiunile sale 0.2.15, 0.2.16 și 0.3.0 sunt vulnerabile la o blocare de reintrare defectuoasă.
„Investigația este în desfășurare, dar orice proiect care se bazează pe aceste versiuni ar trebui să ne contacteze imediat”, a scris Vyper pe X. Conform unei analize a contractelor afectate realizată de firma de securitate Ancilia, 136 de contracte folosesc Vyper 0.2.15 și protecție la reintrare, 98 de contracte folosesc Vyper 0.2.16, iar 226 de contracte folosesc Vyper 0.3.0.
Multe pool-uri stabile (alETH/msETH/pETH) care folosesc Vyper 0.2.15 au fost exploatate din cauza unei erori de blocare a reintrenței. Evaluăm situația și vom actualiza comunitatea pe măsură ce lucrurile se dezvoltă. Alte piscine sunt sigure. https://t.co/eWy2d3cDDj
— Curve Finance (@CurveFinance) 30 iulie 2023
Potrivit investigației preliminare, unele versiuni ale compilatorului Vyper nu implementează în mod corespunzător protecția la reintrare, care poate împiedica executarea simultană a mai multor funcții prin blocarea contractului. Un atac de reintrare ar putea consuma toate fondurile dintr-un contract.
Vyper este un limbaj de programare pythonic orientat spre contract pentru Ethereum Virtual Machine (EVM). Asemănările lui Vyper cu Python fac din limba unul dintre punctele de plecare pentru dezvoltatorii Python care intră în Web3.
Multe proiecte de finanțare descentralizată au fost afectate de atac. Schimbul descentralizat Ellipsis a raportat utilizarea unui număr mic de pool-uri stabile cu BNB folosind vechiul compilator Vyper. AlETH-ETH de la Alchemix a înregistrat, de asemenea, ieșiri de 13,6 milioane de dolari, împreună cu 11,4 milioane de dolari din grupul pETH-ETH al JPEGd și 1,6 milioane de dolari din grupul sETH-ETH al Metronome. CEO-ul Curving Finance, Michael Egorov, a confirmat ulterior că 32 de milioane de jetoane CRV în valoare de peste 22 de milioane de dolari au fost epuizate din fondul de schimb al canalului Telegram.
Anumite tipuri de pool-uri de fabrici Curve au întâmpinat atacuri de reintrare numai în citire, care au dus la pierderi totale de 11 milioane USD (@JPEGd_69) + 13 milioane USD (@AlchemixFi) + ... Investigația preliminară a constatat că compilatorul vyper (0.2.15) nu a implementat reintrarea corectă Protecția la intrare. add_liquidity… pic.twitter.com/avaHdtSFsm
– Tony Ke (@tonyke_bot) 30 iulie 2023
Vulnerabilitatea a stârnit panică în ecosistemul DeFi, declanșând un val de tranzacții încrucișate și operațiuni de salvare cu pălărie albă. Datele de la CoinMarketCap arată că jetonul utilitar Curve Finance Curve DAO (CRV) a scăzut cu mai mult de 5% la știri. După cum a raportat Cointelegraph, lichiditatea CRV a scăzut semnificativ în ultimele luni, lăsând-o vulnerabilă la schimbări severe de preț. Potrivit Curve Finance, nici contractul crvUSD și nici unul dintre pool-urile sale nu au fost afectate de atac.
Curve Finance este un protocol DeFi care permite un schimb descentralizat (DEX) de monede stabile în Ethereum. Protocolul a fost ținta unei serii de evenimente din ecosistemul său. Cu doar câteva zile în urmă, platforma sa cuprinzătoare Conic Finance a fost exploatată cu 3,26 milioane USD în Ethereum (ETH), aproape întreaga sumă furată fiind trimisă la o nouă adresă Ethereum într-o singură tranzacție.
Protocoalele DeFi au fost ținta mai multor atacuri în ultimele luni. Potrivit unui raport al aplicației de portofoliu Web3 De.Fi, peste 204 de milioane de dolari au fost fraudate prin hack-uri și escrocherii DeFi numai în al doilea trimestru al anului 2023.
Magazine: Proiectele cripto ar trebui să negocieze cu hackerii? posibil
Autor: Shenlian DCNews
Compilator: Sora Shen
Twitter: DeepChain
Twitter:https://twitter.com/DeepChainUS