Curve Finance Liquiditeitspools benut, $47M verloren

• Liquiditeitspools op Curve Finance werden uitgebuit en bijna $47 miljoen werd uit het DeFi-protocol gehaald.
• Een kwetsbaarheid in de 0.2.15-, 0.2.16- en 0.3.0-versies van de Vyper-programmeertaal leidde tot de hacks. 
• Crypto-uitwisseling Binance's BNB Smart Chain leed aan een soortgelijke exploit en aanvallers maakten $73K leeg.
• In augustus 2022 kreeg Curve Finance opnieuw te maken met een aanval die leidde tot een verlies van $570.000.

---

Het toonaangevende gedecentraliseerde financiële (DeFi) platform Curve Finance is misbruikt en volgens het blockchain-beveiligingsplatform BlockSec is bijna $47 miljoen misbruikt van het platform. Als reden voor de hacks wordt een kwetsbaarheid in de programmeertaal Vyper genoemd. Interessant is dat de BNB Smart Chain van crypto-uitwisseling Binance ook met een soortgelijke exploit te maken heeft gehad.

Volgens Vyper zijn de 0.2.15-, 0.2.16- en 0.3.0-versies van de programmeertaal kwetsbaar voor slecht functionerende terugkeersloten. Alle projecten die deze programmeertaal gebruiken, is gevraagd voorzichtig te blijven en contact op te nemen met het Vyper-team, inclusief Curve Finance.

PSA: Vyper-versies 0.2.15, 0.2.16 en 0.3.0 zijn kwetsbaar voor defecte terugkeersloten. Het onderzoek is aan de gang, maar elk project dat op deze versies vertrouwt, moet onmiddellijk contact met ons opnemen.

— Vyper (@vyperlang) 30 juli 2023

"Het onderzoek is aan de gang, maar elk project dat op deze versies vertrouwt, moet onmiddellijk contact met ons opnemen", zegt Vyper verklaarde: via social media platform X (voorheen bekend als Twitter). Bovendien, volgens een analyse van beveiligingsbedrijf Ancilia, gebruikten 136 contracten Vyper 0.2.15 met bescherming tegen herintreders, 98 contracten gebruikten Vyper 0.2.16 en 226 contracten gebruikten Vyper 0.3.0.

Bovendien bevestigde Curve Finance de exploit ook via zijn officiële X-account, waarin stond dat een aantal stablepools die Vyper 0.2.15 gebruiken, waaronder alETH/msETH/pETHalETH/msETH/pETH, zijn misbruikt. Andere pools, inclusief crvUSD-contracten en eventuele pools daarmee, zijn dat wel niet beinvloed. 

Een aantal stablepools (alETH/msETH/pETH) die Vyper 0.2.15 gebruiken, is misbruikt als gevolg van een defecte terugkeervergrendeling. We beoordelen de situatie en zullen de community op de hoogte houden naarmate de zaken zich ontwikkelen.

Andere zwembaden zijn veilig. https://t.co/eWy2d3cDDj

— Kromme Financiën (@CurveFinanciën) 30 juli 2023

Volgens de eerste analyse die door veel mensen in de crypto-ruimte is uitgevoerd, implementeren sommige versies van de Vyper-compiler de terugkeerbeveiliging niet correct. Als gevolg hiervan werkt de functie die voorkomt dat meerdere functies tegelijkertijd worden uitgevoerd door een contract te vergrendelen, niet. Bovendien kunnen re-entrancy-aanvallen mogelijk alle fondsen uit een contract halen. Dit is de belangrijkste reden voor de exploit op Curve Finance.

Samen met Curve Finance leed ook Binance's BNB Smart Chain aan een exploit, en de aanvaller ging ervandoor met meer dan $73.000 in cryptocurrencies. Aanvallen op Ethereum hebben de $41 miljoen al overschreden.

Interessant is dat Curve Finance in augustus 2022 opnieuw werd aangevallen, wat leidde tot een verlies van $570.000. Binance hielp echter het DeFi-platform herstel bijna $450k nadat de hacker probeerde de activa te liquideren. Curve onthulde dat het probleem mogelijk het gevolg was van een hack op de domeinnaamserver (DNS) provider 'Ik wil mijn naam.'

Laatste nieuws