Wykorzystane pule płynności Curve Finance, utracone $47M
- Pule płynności na Curve Finance zostały wykorzystane, a blisko $47 milionów zostało odprowadzonych z protokołu DeFi.
- Luka w zabezpieczeniach wersji 0.2.15, 0.2.16 i 0.3.0 języka programowania Vyper doprowadziła do włamań.
- Giełda kryptowalut Binance BNB Smart Chain doświadczyła podobnego exploita, a napastnicy wyssali $73K.
- W sierpniu 2022 r. firma Curve Finance doznała kolejnego ataku, który doprowadził do straty w wysokości $570 000.
Wykorzystano wiodącą platformę zdecentralizowanych finansów (DeFi) Curve Finance, a według platformy bezpieczeństwa BlockSec z platformy wykorzystano blisko $47 milionów. Jako przyczynę włamań podawano lukę w języku programowania Vyper. Co ciekawe, giełda kryptowalut Binance BNB Smart Chain również spotkała się z podobnym exploitem.
Według Vypera wersje 0.2.15, 0.2.16 i 0.3.0 języka programowania są podatne na nieprawidłowe działanie blokad ponownego wejścia. Wszystkie projekty działające przy użyciu tego języka programowania zostały poproszone o zachowanie ostrożności i skontaktowanie się z zespołem Vyper, w tym Curve Finance.
„Dochodzenie jest w toku, ale każdy projekt wykorzystujący te wersje powinien natychmiast się z nami skontaktować” – Vyper stwierdził za pośrednictwem platformy mediów społecznościowych X (wcześniej znanej jako Twitter). Co więcej, zgodnie z analizą przeprowadzoną przez firmę ochroniarską Ancilia, 136 umów wykorzystywało Vyper 0.2.15 z ochroną reentrant, 98 umów wykorzystywało Vyper 0.2.16, a 226 umów wykorzystywało Vyper 0.3.0.
Dodatkowo firma Curve Finance również potwierdziła exploit za pośrednictwem swojego oficjalnego konta X, stwierdzając, że wiele stabilnych puli korzystających z Vyper 0.2.15, w tym alETH/msETH/pETHalETH/msETH/pETH, zostało wykorzystanych. Inne pule, w tym kontrakty crvUSD i wszelkie pule z nimi, są nie dotyczy.
Zgodnie ze wstępną analizą przeprowadzoną przez wiele osób w przestrzeni kryptograficznej, niektóre wersje kompilatora Vypera nie implementują poprawnie ochrony ponownego wejścia. W rezultacie funkcja, która uniemożliwia wykonywanie wielu funkcji w tym samym czasie przez zablokowanie kontraktu, nie działa. Co więcej, ataki typu „reentrancy” mogą potencjalnie wyczerpywać wszystkie środki z kontraktu. To jest podstawowy powód exploita na Curve Finance.
Wraz z Curve Finance, BNB Smart Chain firmy Binance również padł ofiarą exploita, a osoba atakująca ukradła ponad $73 000 w kryptowalutach. Liczba ataków na Ethereum przekroczyła już $41 milionów.
Co ciekawe, w sierpniu 2022 r. firma Curve Finance doznała kolejnego ataku, który doprowadził do utraty $570 000. Jednak Binance pomogło platformie DeFi odzyskać blisko $450k po tym, jak haker próbował upłynnić aktywa. Curve ujawnił, że problem mógł być wynikiem włamania do dostawcy serwera nazw domen (DNS). 'chcę moje imię.'
Dziennikarz kryptograficzny z ponad 3-letnim doświadczeniem w DeFi, NFT, Metaverse itp. Parth współpracował z głównymi mediami w świecie kryptowalut i finansów oraz zdobył doświadczenie i wiedzę w zakresie kultury kryptowalut po przetrwaniu niedźwiedzi i hossy na przestrzeni lat.
Najnowsze wiadomości
