Curve Finance の流動性プールが悪用され、$47M が損失

• Curve Finance の流動性プールが悪用され、$4,700 万近くが DeFi プロトコルから流出しました。
• Vyper プログラミング言語のバージョン 0.2.15、0.2.16、および 0.3.0 の脆弱性がハッキングの原因となりました。 
• 仮想通貨取引所バイナンスのBNBスマートチェーンも同様の悪用を受け、攻撃者は$73Kを流出させた。
• 2022 年 8 月、Curve Finance は別の攻撃を受け、$570,000 の損失をもたらしました。

---

大手分散型金融（DeFi）プラットフォームCurve Financeが悪用され、ブロックチェーンセキュリティプラットフォームBlockSecによると、同プラットフォームから$4,700万近くが悪用されたという。ハッキングの理由としては、Vyper プログラミング言語の脆弱性が挙げられています。興味深いことに、仮想通貨取引所バイナンスのBNBスマートチェーンも同様の悪用に直面している。

Vyper によると、このプログラミング言語のバージョン 0.2.15、0.2.16、0.3.0 は再入ロックの誤動作に対して脆弱です。このプログラミング言語を使用して運営されているすべてのプロジェクトは、引き続き注意し、Curve Finance を含む Vyper チームに連絡するよう求められています。

PSA: Vyper バージョン 0.2.15、0.2.16、および 0.3.0 は、再入ロックの誤動作に対して脆弱です。調査は進行中ですが、これらのバージョンに依存しているプロジェクトは直ちに私たちに連絡してください。

— バイパー (@vyperlang) 2023 年 7 月 30 日

「調査は進行中ですが、これらのバージョンに依存しているプロジェクトは直ちに私たちに連絡してください。」と Vyper 氏 述べました ソーシャルメディアプラットフォームX（以前はTwitterとして知られていました）経由で。さらに、セキュリティ会社 Ancilia の分析によると、136 件の契約でリエントラント保護付きの Vyper 0.2.15 が使用され、98 件の契約で Vyper 0.2.16 が使用され、226 件の契約で Vyper 0.3.0 が使用されていました。

さらに、Curve Financeも公式Xアカウントを通じて悪用を認め、alETH/msETH/pETHalETH/msETH/pETHを含むVyper 0.2.15を使用する多数の安定プールが悪用されたと述べた。 crvUSD 契約とそれに付随するプールを含む他のプールは、 影響を受けません. 

Vyper 0.2.15 を使用する多くの安定したプール (alETH/msETH/pETH) は、再入ロックの誤動作の結果として悪用されています。私たちは状況を評価しており、事態の進展に応じてコミュニティを更新します。

他のプールは安全です。 https://t.co/eWy2d3cDDj

— カーブ・ファイナンス (@CurveFinance) 2023 年 7 月 30 日

暗号業界の多くの人々によって行われた初期分析によると、Vyper コンパイラーの一部のバージョンはリエントラント ガードを正しく実装していません。そのため、コントラクトをロックすることで複数の機能の同時実行を防ぐ機能が動作しません。さらに、再入攻撃により、契約からすべての資金が流出する可能性があります。これが、Curve Finance が悪用される基本的な理由です。

Curve Finance のほかに、Binance の BNB Smart Chain も悪用を受け、攻撃者は $73,000 以上の仮想通貨を盗み出しました。イーサリアムへの攻撃はすでに$4,100万件を超えています。

興味深いことに、2022 年 8 月に遡ると、Curve Finance は別の攻撃を受け、$570,000 の損失につながりました。しかし、バイナンスはDeFiプラットフォームを支援しました $450k近くまで回復 ハッカーが資産を清算しようとした後。 Curve は、この問題はドメイン ネーム サーバー (DNS) プロバイダーに対するハッキングの結果である可能性があることを明らかにしました。 '欲しい私の名前。」

最新ニュース