Různé týmy, které forkly kód Curve Finance, nyní hlásí zneužití poté, co útočník objevil zranitelnost ve starém kompilátoru programovacího jazyka Vyper.
Curve Finance je decentralizovaná burza pro stabilní swapy mezi stablecoiny a kryptografickými tokeny, jako je Ethereum a Wrapped Ethereum (WETH).
Platforma byla v neděli zneužita za odhadovaných 52 milionů dolarů.
Kromě škod způsobených samotné Curve odhalil hack kritickou zranitelnost v širším ekosystému DeFi, konkrétně postihující chytré kontrakty vytvořené pomocí některých verzí programovacího jazyka Vyper.
To mělo dominový efekt vzhledem k tomu, jak rozšířený je Vyper mezi různými kryptografickými projekty – i když mnohem méně než Solidity, řekl TCN vedoucí architektury řešení OpenZeppelin Michael Lewellan.
Podle tweetu týmu Vyper jsou kontrakty vytvořené s Vyper ve verzích 0.2.15, 0.2.16 a 0.3.0 v současné době „zranitelné vůči nefunkčním reentrancy zámkům.“
PSA: Verze Vyper 0.2.15, 0.2.16 a 0.3.0 jsou zranitelné vůči nefunkčním reentrancy zámkům. Vyšetřování probíhá, ale všechny projekty, které se na tyto verze spoléhají, by nás měly okamžitě kontaktovat.
– Vyper (@vyperlang) July 30 2023
Tým důrazně vyzývá vývojáře dalších dApps založených na Vyper, aby tento problém „okamžitě řešili“. „Nejednalo se o problém v kódech protokolů nebo dapps, ale o problém v samotném Vyperu – což je minoritní jazyk EVM, který je však na světě již dlouho,“ řekl TCN vývojář řešení Open Zeppelin Gustavo Gonzales.
Pseudonymní vývojář Vyperu, señor doggo, má podezření na zapojení „státem sponzorovaných hackerů“ na základě úrovně zdrojů, času a odborných znalostí použitých při provádění hacku a odhalení zranitelnosti pomocí chytrých kontraktů Curve.
Nezávislý bezpečnostní výzkumník Officer’s Notes sdělil TCN, že chytré kontrakty Vyper „mohou být zranitelné, pokud byly splněny dvě podmínky“.
První z nich je, že smlouva je vytvořena pomocí Vyperu verze 0.2.15. Druhou je, že v kódu nejsou implementovány vhodné bezpečnostní prvky pro přidávání a odebírání likvidity.
U určitého typu Curve factory pool dochází k útoku na reentranci pouze pro čtení a způsobuje celkovou ztrátu 11 milionů dolarů(@JPEGd_69) + 13 milionů dolarů(@AlchemixFi) + ….
Prvním šetřením bylo zjištěno, že kompilátor vyper (0.2.15) neimplementuje správně hlídání reentrancy.
add_liquidity a… pic.twitter.com/avaHdtSFsm
– Tony KΞ (@tonyke_bot) July 30, 2023
Dalším problémem, který mohl urychlit škody způsobené exploitem, bylo to, že podrobnosti o chybě byly zveřejněny na Twitteru dříve, než byl exploit zmírněn.
To vedlo „k určitému odporu kvůli potenciálnímu využití těchto informací k dalším útokům,“ uvedl Lewellan pro TCN. „V bezpečnostní komunitě ETH panují obavy, že komunikace chyb musí být diskrétnější.“
Curve forky hlásí exploity
S podobnými zprávami o exploitech se objevují i forky protokolu Curve na jiných řetězcích.
Ellipsis Finance, autorizovaný fork Curve s celkovými vklady ve výši 6,5 milionu dolarů podle údajů DeFiLlama, dnes ráno na Twitteru oznámil, že byl zneužit „malý počet stablepoolů s BNB“.
Byl zneužit malý počet stablepoolů s BNB využívajících starý kompilátor Vyper.
Situaci vyhodnocujeme a o případných dalších zjištěních budeme komunitu informovat. https://t.co/pxkhRRSr5w
– Ellipsis (@Ellipsisfi) July 30 2023
Tým Curve Finance také uvedl, že pool Tricrypto – složený z USDT, WBTC a ETH – nasazený společností Curve na řešení Arbitrum na druhé vrstvě byl také „potenciálně zasažen“, ale zatím nebyl zneužit.
Auxo DAO, decentralizovaný výnosový fond s celkovými vklady v hodnotě 5,4 milionu dolarů, se rozhodl odstranit likviditu z poolů Curve a Convex Finance, aby „zmírnil rizika nákazy“.
V zájmu zmírnění rizika nákazy byly všechny pozice z Curve / Convex neprodleně odstraněny až do odvolání.
Expozice pokladny vůči poolu @AlchemixFi alETH/ETH činí 429,6 ETH. Situaci monitorujeme, více informací brzy. https://t.co/wewmvWavwM
– Auxo (@AuxoDAO) 30. července 2023
Convex Finance je aplikace DeFi, která nabízí strategii optimalizace výnosů pro tokeny CRV společnosti Curve s celkovými vklady v hodnotě 1,382 miliardy dolarů podle údajů DefiLlama. Její likvidita od včerejška po exploitu společnosti Curve prudce klesla o 52,5 % z 2,91 miliardy dolarů.
Podle dashboardu Dune má 298,3 milionu tokenů CRV, což představuje třetinu nabídky CRV v oběhu.