Различни екипи, които са разклонили кода на Curve Finance, съобщават за експлойти, след като нападател е открил уязвимост в стар компилатор на езика за програмиране Vyper.
Curve Finance е децентрализиран обмен за стабилни суапове между стабилни монети и крипто токени като Ethereum и Wrapped Ethereum (WETH).
Платформата беше експлоатирана в неделя за приблизително 52 млн. долара.
Освен щетите, нанесени на самата Curve, хакването разкри критична уязвимост в по-широката екосистема на DeFi, засягаща по-специално интелигентните договори, изградени с помощта на определени версии на езика за програмиране Vyper.
Това е имало верижни ефекти, като се има предвид колко широко разпространен е Vyper сред различните криптопроекти – макар и много по-малко от Solidity, заяви пред TCN Майкъл Люелан, ръководител на архитектурата на решенията в OpenZeppelin.
Според съобщение в Twitter от екипа на Vyper договорите, разработени с версиите на Vyper 0.2.15, 0.2.16 и 0.3.0, понастоящем са „уязвими към неправилно функциониращи ключалки за повторна употреба.“
PSA: Версиите на Vyper 0.2.15, 0.2.16 и 0.3.0 са уязвими към неправилно функциониращи ключалки за повторно включване. Разследването продължава, но всеки проект, който разчита на тези версии, трябва незабавно да се свърже с нас.
– Vyper (@vyperlang) July 30 2023
Екипът настоятелно призовава разработчиците на други dApps, базирани на Vyper, да „решат незабавно“ този проблем. „Това не беше проблем в протоколите или кода на dapps, а проблем в самия Vyper – който е малцинствен EVM език, но съществува от дълго време“, заяви разработчикът на решения в Open Zeppelin Густаво Гонзалес пред TCN.
Псевдонимният разработчик на Vyper, señor doggo, подозира участието на „спонсорирани от държавата хакери“ въз основа на нивото на ресурсите, времето и експертните познания, използвани при изпълнението на хака и разкриването на уязвимостта с интелигентните договори Curve.
Officer’s Notes, независим изследовател на сигурността, заяви пред TCN, че интелигентните договори на Vyper „може да са уязвими, ако са изпълнени две условия“.
Първото е, че договорът е изграден с помощта на Vyper версия 0.2.15. Второто е, че в кода не са имплементирани подходящи предпазни мерки за добавяне и премахване на ликвидност.
Определен тип пул от фабрики за криви се сблъсква с атака за реентракция само при четене и причинява обща загуба от 11 млн. долара(@JPEGd_69) + 13 млн. долара(@AlchemixFi) + …
При първоначалното разследване се установи, че компилаторът vyper (0.2.15) не прилага правилно защитата от повторна концентрация.
add_liquidity и… pic.twitter.com/avaHdtSFsm
– Tony KΞ (@tonyke_bot) July 30, 2023
Друг проблем, който може да е ускорил щетите от експлойта, е, че подробностите за бъга са били публикувани в Twitter, преди експлойтът да бъде намален.
Това е довело до „известен отзвук поради потенциалното използване на тази информация за по-нататъшни атаки“, казва Леуелан пред TCN. „В общността за сигурност на ETH има опасения, че съобщаването на бъгове трябва да бъде по-дискретно.“
Кривите вилици съобщават за експлойти
Вилките на протокола Curve на други вериги също се появяват с подобни доклади за експлойти.
Ellipsis Finance, оторизирана вилица на Curve с общ размер на депозитите от 6,5 млн. долара по данни на DeFiLlama, съобщи тази сутрин в Туитър, че са експлоатирани „малък брой стабилни пулове с BNB“.
Малък брой стабилни пулове с BNB, използващи стар компилатор на Vyper, са били експлоатирани.
В момента оценяваме ситуацията и ще информираме общността за всички по-нататъшни открития. https://t.co/pxkhRRSr5w
– Ellipsis (@Ellipsisfi) July 30 2023
Екипът на Curve Finance също така заяви, че пулът Tricrypto – съставен от USDT, WBTC и ETH – при внедряването на Curve в решението за ниво 2 Arbitrum също е „потенциално засегнат“, но все още не е експлоатиран.
Auxo DAO, децентрализиран фонд за събиране на доходност с общи депозити на стойност 5,4 млн. долара, реши да премахне ликвидността от пуловете на Curve и Convex Finance, за да „смекчи рисковете от заразяване“.
За да се намалят рисковете от разпространение на заразата, всички позиции бяха незабавно премахнати от Curve / Convex до второ нареждане.
Експозицията на съкровищницата към пула @AlchemixFi alETH/ETH е 429,6 ETH. Наблюдаваме ситуацията, скоро ще получите повече информация. https://t.co/wewmvWavwM
– Auxo (@AuxoDAO) July 30, 2023
Convex Finance е DeFi приложение, което предлага стратегия за оптимизиране на доходността от CRV токените на Curve с обща стойност на депозитите 1,382 млрд. долара по данни на DefiLlama. Ликвидността му е спаднала с 52,5% от 2,91 млрд. долара от вчера насам след експлойта на Curve.
Тя разполага с 298,3 милиона CRV токена, според информационното табло на Dune, което представлява една трета от циркулиращото предлагане на CRV.