I pool di liquidità di Curve Finance sono stati sfruttati, $47M perso

• Sono stati sfruttati i pool di liquidità su Curve Finance e quasi $47 milioni sono stati drenati dal protocollo DeFi.
• Una vulnerabilità nelle versioni 0.2.15, 0.2.16 e 0.3.0 del linguaggio di programmazione Vyper ha portato agli hack. 
• La BNB Smart Chain dell'exchange di criptovalute Binance ha subito un exploit simile e gli aggressori hanno prosciugato $73K.
• Nell'agosto 2022, Curve Finance ha subito un altro attacco che ha portato a una perdita di $570.000.

---

La piattaforma leader di finanza decentralizzata (DeFi) Curve Finance è stata sfruttata e, secondo la piattaforma di sicurezza blockchain BlockSec, sono stati sfruttati quasi $47 milioni dalla piattaforma. Come motivo degli hack è stata citata una vulnerabilità nel linguaggio di programmazione Vyper. È interessante notare che anche BNB Smart Chain dell'exchange di criptovalute Binance ha dovuto affrontare un exploit simile.

Secondo Vyper, le versioni 0.2.15, 0.2.16 e 0.3.0 del linguaggio di programmazione sono vulnerabili a blocchi di rientranza malfunzionanti. A tutti i progetti che operano utilizzando questo linguaggio di programmazione è stato chiesto di stare attenti e di contattare il team di Vyper, incluso Curve Finance.

PSA: le versioni di Vyper 0.2.15, 0.2.16 e 0.3.0 sono vulnerabili a blocchi di rientranza malfunzionanti. L'indagine è in corso, ma qualsiasi progetto basato su queste versioni dovrebbe contattarci immediatamente.

—Vyper (@vyperlang) 30 luglio 2023

"L'indagine è in corso, ma qualsiasi progetto basato su queste versioni dovrebbe contattarci immediatamente", Vyper ha dichiarato tramite la piattaforma di social media X (precedentemente nota come Twitter). Inoltre, secondo l'analisi della società di sicurezza Ancilia, 136 contratti hanno utilizzato Vyper 0.2.15 con protezione rientrante, 98 contratti hanno utilizzato Vyper 0.2.16 e 226 contratti hanno utilizzato Vyper 0.3.0.

Inoltre, Curve Finance ha anche confermato l'exploit tramite il suo account X ufficiale, affermando che sono stati sfruttati un certo numero di stablepool che utilizzano Vyper 0.2.15, tra cui alETH/msETH/pETHalETH/msETH/pETH. Altri pool, inclusi i contratti crvUSD e qualsiasi pool con essi, lo sono non affetto. 

Un certo numero di stablepool (alETH/msETH/pETH) che utilizzano Vyper 0.2.15 sono stati sfruttati a causa di un malfunzionamento del blocco di rientranza. Stiamo valutando la situazione e aggiorneremo la community man mano che le cose si sviluppano.

Altre piscine sono sicure. https://t.co/eWy2d3cDDj

— Curve Finance (@CurveFinance) 30 luglio 2023

Secondo l'analisi iniziale fatta da molte persone nello spazio crittografico, alcune versioni del compilatore Vyper non implementano correttamente la protezione del rientro. Di conseguenza, la funzionalità che impedisce l'esecuzione simultanea di più funzioni bloccando un contratto non funziona. Inoltre, gli attacchi di rientro possono potenzialmente drenare tutti i fondi da un contratto. Questo è il motivo fondamentale dell'exploit su Curve Finance.

Insieme a Curve Finance, anche la BNB Smart Chain di Binance ha subito un exploit e l'aggressore ha rubato più di $73.000 in criptovalute. Gli attacchi a Ethereum hanno già superato $41 milioni.

È interessante notare che, nell'agosto 2022, Curve Finance ha subito un altro attacco che ha portato a una perdita di $570.000. Tuttavia, Binance ha aiutato la piattaforma DeFi recuperare vicino a $450k dopo che l'hacker ha cercato di liquidare i beni. Curve ha rivelato che il problema potrebbe essere stato il risultato di un attacco al provider DNS (Domain Name Server). «Voglio il mio nome.».'

Ultime notizie