Grupos de liquidez de finanças de curva explorados, $47M perdidos
- Os pools de liquidez no Curve Finance foram explorados e cerca de $47 milhões foram drenados do protocolo DeFi.
- Uma vulnerabilidade nas versões 0.2.15, 0.2.16 e 0.3.0 da linguagem de programação Vyper levou aos hacks.
- O BNB Smart Chain da exchange Binance sofreu uma exploração semelhante e os invasores drenaram $73K.
- Em agosto de 2022, a Curve Finance sofreu outro ataque que levou a uma perda de $570.000.
A plataforma líder de finanças descentralizadas (DeFi), Curve Finance, foi explorada e, de acordo com a plataforma de segurança blockchain BlockSec, cerca de $47 milhões foram explorados a partir da plataforma. Uma vulnerabilidade na linguagem de programação Vyper foi citada como o motivo dos hacks. Curiosamente, o BNB Smart Chain da exchange Binance também enfrentou uma exploração semelhante.
De acordo com Vyper, as versões 0.2.15, 0.2.16 e 0.3.0 da linguagem de programação são vulneráveis a bloqueios de reentrância com defeito. Todos os projetos que estão operando usando esta linguagem de programação foram solicitados a permanecerem cuidadosos e entrarem em contato com a equipe Vyper, incluindo a Curve Finance.
“A investigação está em andamento, mas qualquer projeto que dependa dessas versões deve entrar em contato conosco imediatamente”, disse Vyper. declarado através da plataforma de mídia social X (anteriormente conhecida como Twitter). Além disso, de acordo com a análise da empresa de segurança Ancilia, 136 contratos usaram Vyper 0.2.15 com proteção reentrante, 98 contratos usaram Vyper 0.2.16 e 226 contratos usaram Vyper 0.3.0.
Além disso, a Curve Finance também confirmou a exploração por meio de sua conta oficial do X, afirmando que vários stablepools usando o Vyper 0.2.15, incluindo alETH/msETH/pETHalETH/msETH/pETH, foram explorados. Outros pools, incluindo contratos crvUSD e quaisquer pools com eles, são não afetado.
De acordo com a análise inicial feita por muitas pessoas no espaço criptográfico, algumas versões do compilador Vyper não implementam corretamente a proteção de reentrância. Com isso, o recurso que impede que várias funções sejam executadas ao mesmo tempo, bloqueando um contrato, não está funcionando. Além disso, os ataques de reentrância podem drenar todos os fundos de um contrato. Esta é a razão básica para o exploit no Curve Finance.
Junto com a Curve Finance, o BNB Smart Chain da Binance também sofreu uma exploração, e o invasor conseguiu mais de $73.000 em criptomoedas. Os ataques ao Ethereum já ultrapassaram $41 milhões.
Curiosamente, em agosto de 2022, a Curve Finance sofreu outro ataque que levou a uma perda de $570.000. No entanto, a Binance ajudou a plataforma DeFi recuperar perto de $450k depois que o hacker tentou liquidar os ativos. Curve revelou que o problema poderia ter sido resultado de um hack no provedor de servidor de nome de domínio (DNS). 'eu quero meu nome.'