Fondos de liquidez de Curve Finance explotados, $47M perdidos

• Se explotaron los fondos de liquidez en Curve Finance y se drenaron cerca de $47 millones del protocolo DeFi.
• Una vulnerabilidad en las versiones 0.2.15, 0.2.16 y 0.3.0 del lenguaje de programación Vyper condujo a los ataques. 
• La cadena inteligente BNB de Binance de criptointercambio sufrió un exploit similar y los atacantes drenaron $73K.
• En agosto de 2022, Curve Finance sufrió otro ataque que provocó una pérdida de $570,000.

---

Se ha explotado la plataforma líder de finanzas descentralizadas (DeFi), Curve Finance, y según la plataforma de seguridad blockchain BlockSec, se han explotado cerca de $47 millones desde la plataforma. Se ha citado una vulnerabilidad en el lenguaje de programación Vyper como el motivo de los ataques. Curiosamente, la cadena inteligente BNB de Binance, también se ha enfrentado a un exploit similar.

Según Vyper, las versiones 0.2.15, 0.2.16 y 0.3.0 del lenguaje de programación son vulnerables al mal funcionamiento de los bloqueos de reingreso. Se ha pedido a todos los proyectos que operan con este lenguaje de programación que sean cuidadosos y se comuniquen con el equipo de Vyper, incluido Curve Finance.

PSA: las versiones 0.2.15, 0.2.16 y 0.3.0 de Vyper son vulnerables a bloqueos de reingreso que funcionan mal. La investigación está en curso, pero cualquier proyecto que se base en estas versiones debe comunicarse con nosotros de inmediato.

— Víper (@vyperlang) 30 de julio de 2023

“La investigación está en curso, pero cualquier proyecto que se base en estas versiones debe comunicarse con nosotros de inmediato”, Vyper fijado a través de la plataforma de redes sociales X (anteriormente conocida como Twitter). Además, según el análisis de la firma de seguridad Ancilia, 136 contratos usaron Vyper 0.2.15 con protección de reentrada, 98 contratos usaron Vyper 0.2.16 y 226 contratos usaron Vyper 0.3.0.

Además, Curve Finance también confirmó el exploit a través de su cuenta oficial de X, afirmando que se han explotado varios grupos estables que utilizan Vyper 0.2.15, incluidos alETH/msETH/pETHalETH/msETH/pETH. Otros grupos, incluidos los contratos crvUSD y cualquier grupo con ellos, son no afectado. 

Varios grupos estables (alETH/msETH/pETH) que utilizan Vyper 0.2.15 han sido explotados como resultado de un mal funcionamiento del bloqueo de reentrada. Estamos evaluando la situación e informaremos a la comunidad a medida que se desarrollen las cosas.

Otras piscinas son seguras. https://t.co/eWy2d3cDDj

— Finanzas de la curva (@CurveFinance) 30 de julio de 2023

Según el análisis inicial realizado por muchas personas en el espacio criptográfico, algunas versiones del compilador Vyper no implementan correctamente la protección de reentrada. Como resultado, la función que evita que se ejecuten varias funciones al mismo tiempo mediante el bloqueo de un contrato no funciona. Además, los ataques de reingreso pueden drenar potencialmente todos los fondos de un contrato. Esta es la razón básica del exploit en Curve Finance.

Junto con Curve Finance, la cadena inteligente BNB de Binance también sufrió un exploit, y el atacante se llevó más de $73,000 en criptomonedas. Los ataques a Ethereum ya han superado los $41 millones.

Curiosamente, en agosto de 2022, Curve Finance sufrió otro ataque que provocó una pérdida de $570,000. Sin embargo, Binance ayudó a la plataforma DeFi recuperar cerca de $450k después de que el hacker intentara liquidar los activos. Curve reveló que el problema posiblemente podría haber sido el resultado de un pirateo en el proveedor del servidor de nombres de dominio (DNS). 'quiero mi nombre.'

Últimas noticias