BTC 98289.5$
ETH 3412.7$
Tether (USDT) 1$
Toncoin (TON) 6.16$
telegram vk Х
telegram vk Х
Russian English
"

Пулы Curve Finance подверглись эксплоиту на $47 млн из-за уязвимости повторного входа

Дата публикации:31.07.2023, 07:31
2127
2127
Поделись с друзьями!

30 июля были взломаны несколько пулов стейблкоинов Curve Finance с использованием Vyper, в результате чего убытки превысили 47 миллионов долларов. Согласно Vyper, его версии 0.2.15, 0.2.16 и 0.3.0 имеют уязвимости в работе блокировок повторного входа.

«Расследование продолжается, но любой проект, основанный на этих версиях, должен немедленно связаться с нами», — написал Vyper на X.

На основе анализа затронутых контрактов, проведенного охранной фирмой Ancilia, 136 контрактов использовали Vyper 0.2.15 с защитой от повторного входа, 98 контрактов использовали Vyper 0.2.16 и 226 контрактов использовали Vyper 0.3.0.

«Несколько стабильных пулов (alETH/msETH/pETH), использующих Vyper 0.2.15, были взломаны из-за неисправной блокировки повторного входа. Мы оцениваем ситуацию и будем информировать сообщество по мере развития событий. Другие пулы безопасны», — сообщает Curve Finance (@CurveFinance) 30 июля 2023 г.

Согласно первоначальному расследованию, некоторые версии компилятора Vyper неправильно реализуют защиту от повторного входа, которая предотвращает одновременное выполнение нескольких функций за счет блокировки контракта. Атаки с повторным входом потенциально могут вывести все средства из контракта.

Vyper — это контрактно-ориентированный язык программирования Python, предназначенный для виртуальной машины Ethereum (EVM). Сходство Vyper с Python делает этот язык одной из отправных точек для разработчиков Python, переходящих в Web3.

Атаке подвергся ряд проектов децентрализованного финансирования. Децентрализованная биржа Ellipsis сообщила, что небольшое количество пулов стейблкоинов с BNB было взломано с использованием старого компилятора Vyper. alETH-ETH от Alchemix также стал свидетелем оттока 13,6 млн долларов, наряду с 11,4 млн долларов, использованных в пуле pETH-ETH JPEGd, и 1,6 млн долларов в пуле sETH-ETH Metronome. Генеральный директор Curve Finance Михаил Егоров позже подтвердил в канале Telegram, что 32 миллиона токенов CRV на сумму более 22 миллионов долларов были выведены из своп-пула.

Эксплойт вызвал панику в экосистеме DeFi, вызвав волну транзакций между пулами и спасательную операцию от белых шляп. Данные CoinMarketCap показывают, что служебный токен Curve Finance Curve DAO (CRV) снизился более чем на 5% в ответ на новости. Как сообщает Cointelegraph, ликвидность CRV значительно снизилась в последние месяцы, что сделало ее уязвимой для резких колебаний цен. По данным Curve Finance, контракты crvUSD и любые пулы с ним не пострадали от атаки.


Цена токена Curve DAO, 30 июля 2023 г. Источник: CoinMarketCap

Curve Finance — это протокол DeFi, который обеспечивает децентрализованный обмен стейблкоинами в Ethereum. Протокол стал мишенью серии инцидентов в его экосистеме. Всего несколько дней назад его омнипул-платформа Conic Finance была атакована. Хакер вывел из протокола 3,26 миллиона долларов в эфире (ETH), при этом почти вся украденная сумма была отправлена ​​на новый адрес Ethereum всего за одну транзакцию.

За последние месяцы протоколы DeFi подверглись многочисленным атакам. Согласно отчету портфолио приложения Web3 De.Fi, только во втором квартале 2023 года посредством взломов и мошенничества DeFi было украдено более 204 миллионов долларов.

Подписывайся на наш Telegram канал. Не трать время на мониторинг новостей. Только срочные и важные новости

https://t.me/block_chain24