" 30 июля были взломаны несколько пулов стейблкоинов Curve Finance с использованием Vyper, в результате чего убытки превысили 47 миллионов долларов. Согласно Vyper, его версии 0.2.15, 0.2.16 и 0.3.0 имеют уязвимости в работе блокировок повторного входа.
«Расследование продолжается, но любой проект, основанный на этих версиях, должен немедленно связаться с нами», — написал Vyper на X.
На основе анализа затронутых контрактов, проведенного охранной фирмой Ancilia, 136 контрактов использовали Vyper 0.2.15 с защитой от повторного входа, 98 контрактов использовали Vyper 0.2.16 и 226 контрактов использовали Vyper 0.3.0.
«Несколько стабильных пулов (alETH/msETH/pETH), использующих Vyper 0.2.15, были взломаны из-за неисправной блокировки повторного входа. Мы оцениваем ситуацию и будем информировать сообщество по мере развития событий. Другие пулы безопасны», — сообщает Curve Finance (@CurveFinance) 30 июля 2023 г.
Согласно первоначальному расследованию, некоторые версии компилятора Vyper неправильно реализуют защиту от повторного входа, которая предотвращает одновременное выполнение нескольких функций за счет блокировки контракта. Атаки с повторным входом потенциально могут вывести все средства из контракта.
Vyper — это контрактно-ориентированный язык программирования Python, предназначенный для виртуальной машины Ethereum (EVM). Сходство Vyper с Python делает этот язык одной из отправных точек для разработчиков Python, переходящих в Web3.
Атаке подвергся ряд проектов децентрализованного финансирования. Децентрализованная биржа Ellipsis сообщила, что небольшое количество пулов стейблкоинов с BNB было взломано с использованием старого компилятора Vyper. alETH-ETH от Alchemix также стал свидетелем оттока 13,6 млн долларов, наряду с 11,4 млн долларов, использованных в пуле pETH-ETH JPEGd, и 1,6 млн долларов в пуле sETH-ETH Metronome. Генеральный директор Curve Finance Михаил Егоров позже подтвердил в канале Telegram, что 32 миллиона токенов CRV на сумму более 22 миллионов долларов были выведены из своп-пула.
Эксплойт вызвал панику в экосистеме DeFi, вызвав волну транзакций между пулами и спасательную операцию от белых шляп. Данные CoinMarketCap показывают, что служебный токен Curve Finance Curve DAO (CRV) снизился более чем на 5% в ответ на новости. Как сообщает Cointelegraph, ликвидность CRV значительно снизилась в последние месяцы, что сделало ее уязвимой для резких колебаний цен. По данным Curve Finance, контракты crvUSD и любые пулы с ним не пострадали от атаки.
Цена токена Curve DAO, 30 июля 2023 г. Источник: CoinMarketCap
Curve Finance — это протокол DeFi, который обеспечивает децентрализованный обмен стейблкоинами в Ethereum. Протокол стал мишенью серии инцидентов в его экосистеме. Всего несколько дней назад его омнипул-платформа Conic Finance была атакована. Хакер вывел из протокола 3,26 миллиона долларов в эфире (ETH), при этом почти вся украденная сумма была отправлена на новый адрес Ethereum всего за одну транзакцию.
За последние месяцы протоколы DeFi подверглись многочисленным атакам. Согласно отчету портфолио приложения Web3 De.Fi, только во втором квартале 2023 года посредством взломов и мошенничества DeFi было украдено более 204 миллионов долларов.
