Использование пулов ликвидности Curve Finance, потеря $47M

• Были использованы пулы ликвидности на Curve Finance, и из протокола DeFi было украдено около $47 миллионов.
• К взлому привела уязвимость в версиях 0.2.15, 0.2.16 и 0.3.0 языка программирования Vyper. 
• Похожий эксплойт произошел в BNB Smart Chain криптобиржи Binance, и злоумышленники слили $73K.
• В августе 2022 года Curve Finance подверглась еще одной атаке, которая привела к убыткам в размере $570 000.

---

Была использована ведущая платформа децентрализованного финансирования (DeFi) Curve Finance, и, согласно платформе безопасности блокчейна BlockSec, с платформы было использовано около $47 миллионов. В качестве причины взлома была названа уязвимость в языке программирования Vyper. Интересно, что криптовалютная биржа Binance BNB Smart Chain также столкнулась с аналогичным эксплойтом.

Согласно Vyper, версии языка программирования 0.2.15, 0.2.16 и 0.3.0 уязвимы для сбоев в работе блокировок повторного входа. Всем проектам, которые работают с использованием этого языка программирования, было предложено сохранять осторожность и обращаться к команде Vyper, включая Curve Finance.

PSA: версии Vyper 0.2.15, 0.2.16 и 0.3.0 уязвимы для сбоев в работе блокировок повторного входа. Расследование продолжается, но любой проект, опирающийся на эти версии, должен немедленно связаться с нами.

— Вайпер (@vyperlang) 30 июля 2023 г.

«Расследование продолжается, но любой проект, опирающийся на эти версии, должен немедленно связаться с нами», — Vyper. заявил через платформу социальных сетей X (ранее известную как Twitter). Более того, согласно анализу, проведенному охранной фирмой Ancilia, в 136 контрактах использовался Vyper 0.2.15 с защитой от повторного входа, в 98 контрактах использовался Vyper 0.2.16 и в 226 контрактах использовался Vyper 0.3.0.

Кроме того, Curve Finance также подтвердила эксплойт через свою официальную учетную запись X, заявив, что несколько стабильных пулов, использующих Vyper 0.2.15, включая alETH/msETH/pETHalETH/msETH/pETH, были взломаны. Другие пулы, включая контракты crvUSD и любые пулы с ними, не затронут. 

Несколько стабильных пулов (alETH/msETH/pETH), использующих Vyper 0.2.15, были взломаны из-за неисправной блокировки повторного входа. Мы оцениваем ситуацию и будем информировать сообщество по мере развития событий.

Другие бассейны безопасны. https://t.co/eWy2d3cDDj

— Кривая финансов (@CurveFinance) 30 июля 2023 г.

Согласно первоначальному анализу, проведенному многими людьми в криптопространстве, некоторые версии компилятора Vyper неправильно реализуют защиту от повторного входа. В результате функция, которая предотвращает одновременное выполнение нескольких функций путем блокировки контракта, не работает. Более того, повторные атаки потенциально могут вывести все средства из контракта. Это основная причина эксплойта на Curve Finance.

Наряду с Curve Finance, BNB Smart Chain Binance также пострадала от эксплойта, и злоумышленник унес более $73 000 в криптовалютах. Атаки на Ethereum уже превысили $41 миллион.

Интересно, что еще в августе 2022 года Curve Finance подверглась еще одной атаке, которая привела к убыткам в размере $570 000. Однако Binance помогла платформе DeFi восстановление близко к $450k после того, как хакер попытался ликвидировать активы. Curve показал, что проблема могла быть результатом взлома провайдера сервера доменных имен (DNS). 'iwanmyname.'

Последние новости