Использование пулов ликвидности Curve Finance, потеря $47M

• Были использованы пулы ликвидности на Curve Finance, и из протокола DeFi было украдено около $47 миллионов.
• К взлому привела уязвимость в версиях 0.2.15, 0.2.16 и 0.3.0 языка программирования Vyper. 
• Криптовалютная биржа BNB Smart Chain подверглась аналогичному эксплойту, и злоумышленники истощили $73K.
• В августе 2022 года Curve Finance подверглась еще одной атаке, которая привела к убыткам в размере $570 000.

---

Была взломана ведущая платформа децентрализованного финансирования (DeFi) Curve Finance, и, по данным платформы безопасности блокчейна BlockSec, с этой платформы было взломано около $47 миллионов. Причиной взломов была названа уязвимость в языке программирования Vyper. Интересно, что BNB Smart Chain криптовалютной биржи Binance также столкнулась с аналогичным эксплойтом.

Согласно Vyper, версии языка программирования 0.2.15, 0.2.16 и 0.3.0 уязвимы для сбоев в работе блокировок повторного входа. Всем проектам, которые работают с использованием этого языка программирования, было предложено сохранять осторожность и обращаться к команде Vyper, включая Curve Finance.

PSA: версии Vyper 0.2.15, 0.2.16 и 0.3.0 уязвимы для сбоев в работе блокировок повторного входа. Расследование продолжается, но любой проект, опирающийся на эти версии, должен немедленно связаться с нами.

— Вайпер (@vyperlang) 30 июля 2023 г.

«Расследование продолжается, но любой проект, опирающийся на эти версии, должен немедленно связаться с нами», — Вайпер. заявил через платформу социальных сетей X (ранее известную как Twitter). Более того, согласно анализу, проведенному охранной фирмой Ancilia, в 136 контрактах использовался Vyper 0.2.15 с защитой от повторного входа, в 98 контрактах использовался Vyper 0.2.16 и в 226 контрактах использовался Vyper 0.3.0.

Кроме того, Curve Finance также подтвердила эксплойт через свою официальную учетную запись X, заявив, что несколько стабильных пулов, использующих Vyper 0.2.15, включая alETH/msETH/pETHalETH/msETH/pETH, были взломаны. Другие пулы, включая контракты crvUSD и любые пулы с ними, не затронут. 

Несколько стабильных пулов (alETH/msETH/pETH), использующих Vyper 0.2.15, были взломаны из-за неисправной блокировки повторного входа. Мы оцениваем ситуацию и будем информировать сообщество по мере развития событий.

Другие бассейны безопасны. https://t.co/eWy2d3cDDj

— Кривая финансов (@CurveFinance) 30 июля 2023 г.

Согласно первоначальному анализу, проведенному многими людьми в криптопространстве, некоторые версии компилятора Vyper неправильно реализуют защиту от повторного входа. В результате функция, которая предотвращает одновременное выполнение нескольких функций путем блокировки контракта, не работает. Более того, повторные атаки потенциально могут вывести все средства из контракта. Это основная причина эксплойта на Curve Finance.

Наряду с Curve Finance, BNB Smart Chain от Binance также подверглась эксплойту, и злоумышленник украл более $73 000 в криптовалютах. Число атак на Ethereum уже превысило $41 миллион.

Интересно, что еще в августе 2022 года Curve Finance подверглась еще одной атаке, которая привела к убыткам в размере $570 000. Однако Binance помогла платформе DeFi восстановление близко к $450k после того, как хакер попытался ликвидировать активы. Curve показал, что проблема могла быть результатом взлома провайдера сервера доменных имен (DNS). 'iwantmyname.'

Последние новости