Eğri Finans Likidite Havuzları Kullanıldı, $47M Kaybedildi

• Curve Finance üzerindeki likidite havuzları istismar edildi ve DeFi protokolünden $47 milyona yakın para çekildi.
• Saldırılara Vyper programlama dilinin 0.2.15, 0.2.16 ve 0.3.0 sürümlerinde bulunan bir güvenlik açığı neden oldu. 
• Kripto borsası Binance'in BNB Smart Chain'i de benzer bir saldırıya maruz kaldı ve saldırganlar $73K'yı boşalttı.
• Ağustos 2022'de Curve Finance, $570.000 kayba yol açan başka bir saldırıya uğradı.

---

Önde gelen merkezi olmayan finans (DeFi) platformu Curve Finance istismar edildi ve blockchain güvenlik platformu BlockSec'e göre platformdan $47 milyona yakın miktar istismar edildi. Saldırıların nedeni olarak Vyper programlama dilindeki bir güvenlik açığı gösterildi. İlginç bir şekilde, kripto borsası Binance'in BNB Smart Chain'i de benzer bir istismarla karşı karşıya kaldı.

Vyper'a göre, programlama dilinin 0.2.15, 0.2.16 ve 0.3.0 sürümleri, arızalı yeniden giriş kilitlerine karşı savunmasızdır. Curve Finance dahil olmak üzere bu programlama dilini kullanan tüm projelerden dikkatli olmaları ve Vyper ekibine ulaşmaları istendi.

PSA: Vyper sürümleri 0.2.15, 0.2.16 ve 0.3.0, arızalı yeniden giriş kilitlerine karşı savunmasızdır. Soruşturma devam ediyor, ancak bu sürümlere dayanan herhangi bir proje derhal bize ulaşmalıdır.

— Vyper (@vyperlang) 30 Temmuz 2023

Vyper, "Soruşturma devam ediyor ancak bu sürümlere dayanan herhangi bir projenin derhal bizimle iletişime geçmesi gerekiyor" dedi. belirtilmiş sosyal medya platformu X (eski adıyla Twitter) aracılığıyla. Ayrıca, güvenlik firması Ancilia tarafından yapılan analize göre, 136 sözleşme yeniden giriş korumalı Vyper 0.2.15, 98 sözleşme Vyper 0.2.16 ve 226 sözleşme Vyper 0.3.0 kullandı.

Ek olarak, Curve Finance, resmi X hesabı aracılığıyla, alETH/msETH/pETHalETH/msETH/pETH dahil olmak üzere Vyper 0.2.15 kullanan bir dizi stabil havuzun kötüye kullanıldığını belirterek, istismarı doğruladı. crvUSD sözleşmeleri ve bunlara bağlı havuzlar da dahil olmak üzere diğer havuzlar, etkilenmemiş. 

Vyper 0.2.15 kullanan bir dizi kararlı havuz (alETH/msETH/pETH), yeniden giriş kilidinin arızalanması nedeniyle istismar edildi. Durumu değerlendiriyoruz ve işler geliştikçe topluluğu güncelleyeceğiz.

Diğer havuzlar güvenlidir. https://t.co/eWy2d3cDDj

— Curve Finans (@CurveFinance) 30 Temmuz 2023

Kripto alanındaki birçok kişi tarafından yapılan ilk analize göre, Vyper derleyicisinin bazı sürümleri yeniden giriş korumasını doğru bir şekilde uygulamıyor. Sonuç olarak, bir sözleşmeyi kilitleyerek birden fazla işlevin aynı anda yürütülmesini engelleyen özellik çalışmıyor. Ayrıca, yeniden giriş saldırıları potansiyel olarak bir sözleşmedeki tüm fonları tüketebilir. Curve Finance üzerindeki istismarın temel nedeni budur.

Curve Finance'in yanı sıra Binance'in BNB Akıllı Zinciri de bir istismara maruz kaldı ve saldırgan $73.000'den fazla kripto para birimini ele geçirdi. Ethereum'a yönelik saldırılar şimdiden $41 milyonu aştı.

İlginç bir şekilde, Ağustos 2022'de Curve Finance, $570.000 kayba yol açan başka bir saldırıya uğradı. Ancak Binance, DeFi platformuna yardımcı oldu $450k'ye yakın kurtarma hacker varlıkları tasfiye etmeye çalıştıktan sonra. Curve, sorunun muhtemelen alan adı sunucusu (DNS) sağlayıcısındaki bir saldırının sonucu olabileceğini ortaya çıkardı. 'benim adımı istiyorum.'

Son Haberler