Curve Finance-Liquiditätspools ausgenutzt, $47M verloren
- Liquiditätspools auf Curve Finance wurden ausgenutzt und fast $47 Millionen wurden aus dem DeFi-Protokoll abgezogen.
- Eine Schwachstelle in den Versionen 0.2.15, 0.2.16 und 0.3.0 der Programmiersprache Vyper führte zu den Hacks.
- Die BNB Smart Chain der Krypto-Börse Binance erlitt einen ähnlichen Exploit, und die Angreifer entzogen $73K.
- Im August 2022 erlitt Curve Finance einen weiteren Angriff, der zu einem Verlust von $570.000 führte.
Die führende dezentrale Finanzplattform (DeFi) Curve Finance wurde ausgenutzt, und laut der Blockchain-Sicherheitsplattform BlockSec wurden fast $47 Millionen von der Plattform ausgenutzt. Als Grund für die Hacks wird eine Schwachstelle in der Programmiersprache Vyper genannt. Interessanterweise war auch die BNB Smart Chain der Krypto-Börse Binance mit einem ähnlichen Exploit konfrontiert.
Laut Vyper sind die Versionen 0.2.15, 0.2.16 und 0.3.0 der Programmiersprache anfällig für fehlerhafte Wiedereintrittssperren. Alle Projekte, die diese Programmiersprache verwenden, wurden gebeten, vorsichtig zu sein und sich an das Vyper-Team zu wenden, einschließlich Curve Finance.
„Die Untersuchung ist noch nicht abgeschlossen, aber jedes Projekt, das sich auf diese Versionen stützt, sollte sich umgehend an uns wenden“, sagte Vyper angegeben über die Social-Media-Plattform X (früher bekannt als Twitter). Darüber hinaus verwendeten laut einer Analyse des Sicherheitsunternehmens Ancilia 136 Verträge Vyper 0.2.15 mit Wiedereintrittsschutz, 98 Verträge verwendeten Vyper 0.2.16 und 226 Verträge verwendeten Vyper 0.3.0.
Darüber hinaus bestätigte Curve Finance den Exploit auch über sein offizielles X-Konto und gab an, dass eine Reihe von Stablepools, die Vyper 0.2.15 verwenden, darunter alETH/msETH/pETHalETH/msETH/pETH, ausgenutzt wurden. Andere Pools, einschließlich crvUSD-Verträge und alle damit verbundenen Pools, sind vorhanden nicht betroffen.
Laut der ersten Analyse, die von vielen Leuten im Kryptobereich durchgeführt wurde, implementieren einige Versionen des Vyper-Compilers den Wiedereintrittsschutz nicht korrekt. Daher funktioniert die Funktion, die die gleichzeitige Ausführung mehrerer Funktionen durch Sperren eines Vertrags verhindert, nicht. Darüber hinaus können Wiedereintrittsangriffe möglicherweise alle Mittel aus einem Vertrag entziehen. Dies ist der Hauptgrund für den Exploit auf Curve Finance.
Neben Curve Finance wurde auch die BNB Smart Chain von Binance ausgenutzt, und der Angreifer erbeutete mehr als $73.000 an Kryptowährungen. Die Angriffe auf Ethereum haben bereits $41 Millionen überschritten.
Interessanterweise erlitt Curve Finance im August 2022 einen weiteren Angriff, der zu einem Verlust von $570.000 führte. Allerdings hat Binance der DeFi-Plattform geholfen Wiederherstellung in der Nähe von $450k nachdem der Hacker versucht hatte, die Vermögenswerte zu liquidieren. Curve ergab, dass das Problem möglicherweise auf einen Hackerangriff auf den Domain Name Server (DNS)-Anbieter zurückzuführen sein könnte „Ich möchte meinen Namen.'
Ein Krypto-Journalist mit über 3 Jahren Erfahrung in DeFi, NFT, Metaverse usw. Parth hat mit großen Medienunternehmen in der Krypto- und Finanzwelt zusammengearbeitet und Erfahrungen und Fachwissen in der Kryptokultur gesammelt, nachdem er im Laufe der Jahre Bären- und Bullenmärkte überlebt hat.
