В неделя, 30 юли 2023 г., светът на децентрализираните финанси беше разтърсен от мащабна атака, използваща уязвимост в езика за програмиране Vyper, използван от няколко пула за ликвидност по протокола Curve. Как нападателите са успели да откраднат повече от 41 млн. долара?
За това е виновен недостатък в езика Vyper
Атакуващите са използвали уязвимост в някои от пуловете за ликвидност на Curve, популярния децентрализиран финансов протокол (DeFi). Уязвимостта е проследена до Vyper – алтернативен език за програмиране на интелигентни договори на Ethereum.
Всъщност няколко от пуловете на Curve, използващи Vyper, бяха експлоатирани, което доведе до загуби, оценявани на 41 млн. долара според фирмата за сигурност BlockSec. Всъщност беше установено, че версиите на Vyper 0.2.15, 0.2.16 и 0.3.0 са уязвими към атака за повторно включване.
Конкретно това се случва, когато функция на интелигентен договор прави външно повикване към друг ненадежден интелигентен договор. След това последният прави рекурсивно повикване към оригиналната функция, за да източи средства. Тъй като интелигентният договор не успява да актуализира състоянието си, преди да изпрати средствата, нападателят може непрекъснато да извиква функцията за изтегляне, за да източи средствата.
Според анализ на фирмата за сигурност Ancilia 136 смарт договора са използвали Vyper 0.2.15, 98 смарт договора са използвали Vyper 0.2.16 и 226 смарт договора са използвали Vyper 0.3.0:
Направихме бърза проверка в github.
Намерените 136 договора бяха компилирани с Vyper 0.2.15 и използваха реентрантна защита;
98 намерени договора с версия 0.2.16
Открити 226 договора с версия 0.3.0– Ancilia, Inc (@AnciliaInc) July 30, 2023
В резултат на това няколко басейна бяха напълно изпразнени от ликвидност:
- Пул CRV-ETH на Curve: загуба от 14 млн.
- Пул alETH-ETH на Alchemix: загуби в размер на 13,66 млн. долара;
- JPEG’s pETH-ETH pool: загуба от 11,4 млн. долара;
Metronome’s sETH-ETH pool: загуби в размер на 1,6 млн. долара.
В Twitter Vyper обясни, че неизправността се дължи на компилатора на езика за програмиране, който в някои случаи се е повредил. В резултат на това защитите срещу атаки от типа reentrance не са сработили.
Токенът CRV спада рязко
След атаката срещу пуловете на Curve цената на CRV започна бързо да пада. CRV падна от 0,70 долара на 0,59 долара само за 60 минути, което представлява спад от около 16%:
Еволюция на цената на CRV след атаката
