Curve Finance Liquiditeitspools benut, $47M verloren
- Liquiditeitspools op Curve Finance werden uitgebuit en bijna $47 miljoen werd uit het DeFi-protocol gehaald.
- Een kwetsbaarheid in de 0.2.15-, 0.2.16- en 0.3.0-versies van de Vyper-programmeertaal leidde tot de hacks.
- De BNB Smart Chain van crypto-uitwisseling Binance kreeg te maken met een soortgelijke exploit en aanvallers maakten $73K leeg.
- In augustus 2022 kreeg Curve Finance opnieuw te maken met een aanval die leidde tot een verlies van $570.000.
Het toonaangevende gedecentraliseerde financiële platform (DeFi) Curve Finance is uitgebuit, en volgens het blockchain-beveiligingsplatform BlockSec is bijna $47 miljoen van het platform geëxploiteerd. Als reden voor de hacks wordt een kwetsbaarheid in de programmeertaal Vyper genoemd. Interessant is dat de BNB Smart Chain van crypto-uitwisseling Binance ook met een soortgelijke exploit te maken heeft gehad.
Volgens Vyper zijn de 0.2.15-, 0.2.16- en 0.3.0-versies van de programmeertaal kwetsbaar voor slecht functionerende terugkeersloten. Alle projecten die deze programmeertaal gebruiken, is gevraagd voorzichtig te blijven en contact op te nemen met het Vyper-team, inclusief Curve Finance.
“Het onderzoek is aan de gang, maar elk project dat op deze versies vertrouwt, moet onmiddellijk contact met ons opnemen”, zegt Vyper verklaarde: via social media platform X (voorheen bekend als Twitter). Bovendien, volgens een analyse van beveiligingsbedrijf Ancilia, gebruikten 136 contracten Vyper 0.2.15 met bescherming tegen herintreders, 98 contracten gebruikten Vyper 0.2.16 en 226 contracten gebruikten Vyper 0.3.0.
Bovendien bevestigde Curve Finance de exploit ook via zijn officiële X-account, waarin stond dat een aantal stablepools die Vyper 0.2.15 gebruiken, waaronder alETH/msETH/pETHalETH/msETH/pETH, zijn misbruikt. Andere pools, inclusief crvUSD-contracten en eventuele pools daarmee, zijn dat wel niet beinvloed.
Volgens de eerste analyse die door veel mensen in de crypto-ruimte is uitgevoerd, implementeren sommige versies van de Vyper-compiler de terugkeerbeveiliging niet correct. Als gevolg hiervan werkt de functie die voorkomt dat meerdere functies tegelijkertijd worden uitgevoerd door een contract te vergrendelen, niet. Bovendien kunnen re-entrancy-aanvallen mogelijk alle fondsen uit een contract halen. Dit is de belangrijkste reden voor de exploit op Curve Finance.
Samen met Curve Finance kreeg Binance's BNB Smart Chain ook te maken met een exploit, en de aanvaller maakte ruim $73.000 aan cryptocurrencies buit. Aanvallen op Ethereum hebben al de grens van $41 miljoen overschreden.
Interessant is dat Curve Finance in augustus 2022 opnieuw werd aangevallen, wat leidde tot een verlies van $570.000. Binance hielp echter het DeFi-platform herstel bijna $450k nadat de hacker probeerde de activa te liquideren. Curve onthulde dat het probleem mogelijk het gevolg was van een hack op de domeinnaamserver (DNS) provider 'iwantmijnnaam.'