Curve Finance Likviditetspooler utnyttjade, $47M förlorat
- Likviditetspooler på Curve Finance utnyttjades och nära $47 miljoner tappades från DeFi-protokollet.
- En sårbarhet i versionerna 0.2.15, 0.2.16 och 0.3.0 av programmeringsspråket Vyper ledde till hacken.
- Kryptobörsen Binances BNB Smart Chain drabbades av en liknande exploatering och angripare dränerade $73K.
- I augusti 2022 drabbades Curve Finance av en annan attack som ledde till en förlust på $570 000.
Den ledande plattformen för decentraliserad finans (DeFi) Curve Finance har utnyttjats, och enligt blockchain-säkerhetsplattformen BlockSec har närmare $47 miljoner utnyttjats från plattformen. En sårbarhet i programmeringsspråket Vyper har nämnts som orsaken till hacken. Intressant nog har kryptobörsen Binances BNB Smart Chain också mött en liknande exploatering.
Enligt Vyper är versionerna 0.2.15, 0.2.16 och 0.3.0 av programmeringsspråket sårbara för felaktiga återinträdeslås. Alla projekt som arbetar med detta programmeringsspråk har uppmanats att vara försiktiga och nå ut till Vyper-teamet, inklusive Curve Finance.
"Utredningen pågår, men alla projekt som förlitar sig på dessa versioner bör omedelbart nå ut till oss," Vyper uppgav via sociala medieplattformen X (tidigare känd som Twitter). Dessutom, enligt analys av säkerhetsföretaget Ancilia, använde 136 kontrakt Vyper 0.2.15 med skydd för återträdande, 98 kontrakt använde Vyper 0.2.16 och 226 kontrakt använde Vyper 0.3.0.
Dessutom bekräftade Curve Finance även utnyttjandet via sitt officiella X-konto, och uppgav att ett antal stablepools som använder Vyper 0.2.15, inklusive alETH/msETH/pETHalETH/msETH/pETH har utnyttjats. Andra pooler, inklusive crvUSD-kontrakt och eventuella pooler med dem, är inte påverkas.
Enligt den första analysen som gjordes av många människor i kryptorymden, implementerar vissa versioner av Vyper-kompilatorn inte återinträdesskyddet korrekt. Som ett resultat av detta fungerar inte funktionen som förhindrar att flera funktioner körs samtidigt genom att låsa ett kontrakt. Dessutom kan återinträdesattacker potentiellt tömma alla medel från ett kontrakt. Detta är den grundläggande orsaken till exploateringen på Curve Finance.
Tillsammans med Curve Finance drabbades Binances BNB Smart Chain också av ett utnyttjande, och angriparen gjorde undan med mer än $73 000 i kryptovalutor. Attacker på Ethereum har redan passerat $41 miljoner.
Intressant nog, redan i augusti 2022 drabbades Curve Finance av en annan attack som ledde till en förlust på $570,000. Binance hjälpte dock DeFi-plattformen återhämta sig nära $450k efter att hackaren försökte likvidera tillgångarna. Curve avslöjade att problemet möjligen kan ha varit ett resultat av ett hack på leverantören av domännamnsservern (DNS) 'iwantmyname.'
En kryptojournalist med över 3 års erfarenhet av DeFi, NFT, metaverse etc. Parth har arbetat med stora medier inom krypto- och finansvärlden och har skaffat sig erfarenhet och expertis inom kryptokultur efter att ha överlevt björn- och tjurmarknader genom åren.
