Wykorzystane pule płynności Curve Finance, utracone $47M

• Pule płynności na Curve Finance zostały wykorzystane, a blisko $47 milionów zostało odprowadzonych z protokołu DeFi.
• Luka w zabezpieczeniach wersji 0.2.15, 0.2.16 i 0.3.0 języka programowania Vyper doprowadziła do włamań. 
• Kryptowalutowa giełda Binance BNB Smart Chain padła ofiarą podobnego exploita, a napastnicy wyssali $73K.
• W sierpniu 2022 r. firma Curve Finance doznała kolejnego ataku, który doprowadził do straty w wysokości $570 000.

---

Wiodąca zdecentralizowana platforma finansowa (DeFi) Curve Finance została wykorzystana, a według platformy bezpieczeństwa BlockSec, z platformy wykorzystano blisko $47 milionów. Jako przyczynę włamań podano lukę w zabezpieczeniach języka programowania Vyper. Co ciekawe, kryptowalutowa giełda BNB Smart Chain firmy Binance również spotkała się z podobnym exploitem.

Według Vypera wersje 0.2.15, 0.2.16 i 0.3.0 języka programowania są podatne na nieprawidłowe działanie blokad ponownego wejścia. Wszystkie projekty działające przy użyciu tego języka programowania zostały poproszone o zachowanie ostrożności i skontaktowanie się z zespołem Vyper, w tym Curve Finance.

PSA: Vyper w wersjach 0.2.15, 0.2.16 i 0.3.0 jest podatny na nieprawidłowe działanie blokad ponownego wejścia. Dochodzenie jest w toku, ale każdy projekt oparty na tych wersjach powinien natychmiast skontaktować się z nami.

— Vyper (@vyperlang) 30 lipca 2023 r

„Dochodzenie trwa, ale każdy projekt oparty na tych wersjach powinien natychmiast skontaktować się z nami”, Vyper stwierdził za pośrednictwem platformy mediów społecznościowych X (wcześniej znanej jako Twitter). Co więcej, zgodnie z analizą przeprowadzoną przez firmę ochroniarską Ancilia, 136 umów wykorzystywało Vyper 0.2.15 z ochroną reentrant, 98 umów wykorzystywało Vyper 0.2.16, a 226 umów wykorzystywało Vyper 0.3.0.

Dodatkowo firma Curve Finance również potwierdziła exploit za pośrednictwem swojego oficjalnego konta X, stwierdzając, że wiele stabilnych puli korzystających z Vyper 0.2.15, w tym alETH/msETH/pETHalETH/msETH/pETH, zostało wykorzystanych. Inne pule, w tym kontrakty crvUSD i wszelkie pule z nimi, są nie dotyczy. 

Wiele stabilnych puli (alETH/msETH/pETH) korzystających z Vyper 0.2.15 zostało wykorzystanych w wyniku nieprawidłowego działania blokady ponownego wejścia. Oceniamy sytuację i będziemy informować społeczność w miarę rozwoju sytuacji.

Pozostałe baseny są bezpieczne. https://t.co/eWy2d3cDDj

— Curve Finance (@CurveFinance) 30 lipca 2023 r

Zgodnie ze wstępną analizą przeprowadzoną przez wiele osób w przestrzeni kryptograficznej, niektóre wersje kompilatora Vypera nie implementują poprawnie ochrony ponownego wejścia. W rezultacie funkcja, która uniemożliwia wykonywanie wielu funkcji w tym samym czasie przez zablokowanie kontraktu, nie działa. Co więcej, ataki typu „reentrancy” mogą potencjalnie wyczerpywać wszystkie środki z kontraktu. To jest podstawowy powód exploita na Curve Finance.

Wraz z Curve Finance, BNB Smart Chain Binance również ucierpiało, a atakujący ukradł ponad $73 000 w kryptowalutach. Ataki na Ethereum przekroczyły już $41 milionów.

Co ciekawe, w sierpniu 2022 r. firma Curve Finance doznała kolejnego ataku, który doprowadził do utraty $570 000. Jednak Binance pomogło platformie DeFi odzyskać blisko $450k po tym, jak haker próbował upłynnić aktywa. Curve ujawnił, że problem mógł być wynikiem włamania do dostawcy serwera nazw domen (DNS). 'chcęnazwisko'

Najnowsze wiadomości