" Протоколы децентрализованных финансов (DeFi) проходят стресс-тест после того, как в версиях языка программирования Vyper была обнаружена критическая уязвимость, которая привела к краже криптовалют на миллионы долларов 30 июля.
Ряд пулов, использующих Vyper 0.2.15, 0.2.16 и 0.3.0, были взломаны из-за неисправной блокировки повторного входа, нацеленной как минимум на четыре пула ликвидности на протоколе Curve Finance (CRV).
«Короткий ответ заключается в том, что все, что можно было слить, было слито. Целевыми пулами являются aETH/ETH, msETH/ETH, pETH/ETH и CRV/ETH. Все оставшиеся пулы безопасны и не затронуты ошибкой», — сообщила Curve Finance в Discord.
BlockSec, аудиторская фирма для смарт-контрактов, отметила, что повторный вход потенциально может подвергнуть все пулы с обернутым эфиром (WETH) риску атаки.
«Обратите внимание, что эта проблема с повторным входом связана с использованием «use_eth», что потенциально может поставить под угрозу пулы, связанные с WETH! Curve Finance, пожалуйста, напишите нам, если вам нужна помощь», — сообщила BlockSec (@BlockSecTeam) 30 июля 2023 г.
Vyper — это контрактный язык программирования, разработанный для виртуальной машины Ethereum (EVM). Он считается одним из наиболее широко используемых языков программирования Web3, а это означает, что ошибка в трех его версиях может повлиять на несколько других протоколов.
Атака затронула ряд проектов децентрализованных финансов: alETH-ETH компании Alchemix сообщил об оттоке средств в размере 13,6 млн долларов, пул pETH-ETH PEGd был истощен на 11,4 млн долларов, пул sETH-ETH Metronome был взломан на 1,6 млн долларов и более 32 млн в токенах Curve DAO (CRV) на сумму более 22 миллионов долларов были слиты за последние несколько часов. Децентрализованная биржа Ellipsis также сообщила, что небольшое количество стабильных пулов с BNB было взломано с использованием старого компилятора Vyper.
Инцидент также негативно повлиял на цену CRV, которая на момент написания статьи снизилась более чем на 12% до 0,64 доллара. Члены сообщества также отметили потенциальный волновой эффект на протокол Aave, поскольку падение цены CRV может вынудить основателя Curve Михаила Егорова ликвидировать кредитную позицию Aave на сумму 70 миллионов долларов.
