Několik decentralizovaných finančních protokolů bylo v neděli napadeno útočníky, kteří ukradli kryptografické peníze v hodnotě více než 24 milionů dolarů. Útočníci využili zranitelnost v poolech likvidity na platformě Curve, která je automatizovaným tvůrcem trhu.
Zranitelnost byla vysledována ve Vyperu, alternativním programovacím jazyce třetí strany pro chytré kontrakty Ethereum, uvedla Curve na Twitteru. Společnost Curve uvedla, že ostatní pooly likvidity, které tento jazyk nevyužívají, jsou v pořádku.
V důsledku nefunkčního zámku reentrace došlo ke zneužití řady stablepoolů (alETH/msETH/pETH) využívajících Vyper 0.2.15. Situaci vyhodnocujeme a podle vývoje situace budeme komunitu informovat.
Ostatní pooly jsou bezpečné. https://t.co/eWy2d3cDDj
– Curve Finance (@CurveFinance) July 30, 2023
Liquidity pools jsou chytré kontrakty, které drží tokeny a mohou poskytovat likviditu kryptografickým trhům způsobem, který se nespoléhá na finanční zprostředkovatele. Jak se však v neděli dozvědělo několik projektů, malá chyba může přinést značné ztráty.
Podle bezpečnostní firmy Decurity, která se zabývá decentralizovanými financemi, byla z úvěrového protokolu NFT JPEG’d odcizena kryptoměna v hodnotě 11 milionů dolarů. JPEG’d byl mezi prvními, kdo identifikoval problém se svým poolem na Curve.
„Došlo k útoku,“ uvedl JPEG’d na Twitteru. „Prověřovali jsme problém od okamžiku, kdy jsme se o něm dozvěděli, a […] zdá se, že problém souvisí s poolem Curve.“
JPEG’d umožňuje uživatelům zveřejňovat NFT jako zástavu za půjčky. Pokud jde o aktiva uložená do JPEG’d, protokol má celkovou uzamčenou hodnotu (TVL) přibližně 32 milionů USD. Společnost JPEG’d uvedla, že kód odpovědný za úschovu NFT a pokladničních prostředků nebyl ovlivněn.
Podle údajů společnosti CoinGecko se řídicí token protokolu JPEG ke dni psaní tohoto článku snížil o 23 %. V neděli se mince vyškrábala na historické minimum 0,000347 USD.
V nyní již smazaném tweetu Curve původně popsal zranitelnost jako běžný útok „re-entrancy“, který se týkal pouze čtení a kterému bylo možné předejít. K útoku typu re-entrancy dochází, když inteligentní smlouva interaguje s jinou smlouvou, která zase před úplným provedením zavolá zpět na první smlouvu.
Zranitelnost re-entrancy umožňuje útočníkovi nacpat více volání do jediné funkce a oklamat inteligentní smlouvu, aby vypočítala nesprávné zůstatky. Jedním z nejznámějších příkladů byl hackerský útok na DAO v Ethereu v roce 2016 v hodnotě 55 milionů dolarů.
V odpovědi na účet na Twitteru, který později znovu zveřejnil vymazané prohlášení, však Curve uvedl, že jeho původní dojem byl mylný.
„Jo, není to jen pro čtení,“ řekl Curve a dodal, že nedošlo k „žádnému pochybení na straně projektů, které se integrovaly, nebo dokonce uživatelů vyper.“
Ano, ne pouze pro čtení. Žádné pochybení na straně projektů, které se integrovaly, nebo dokonce uživatelů vyper zde
– Curve Finance (@CurveFinance) July 30, 2023
Útoky na zpětné zprostředkování jsou pro útočníky příliš častým vektorem pro krádeže protokolů, řekl pro TCN Meir Dolev, spoluzakladatel a technický ředitel kyberbezpečnostní společnosti Cyvers.
„Jsou zcela běžné,“ řekl Dolev. „A je možné se jim vyhnout správným návrhem a vývojem.“
Problém se netýkal pouze formátu JPEG’d. Nedlouho po zneužití výpůjčního protokolu NFT přišly podobným způsobem společnosti Alchemix o 13,6 milionu dolarů a Metronome DAO o 1,6 milionu dolarů, uvedl.
Společnost Alchemix na Twitteru přiznala, že aktivně pracuje na odstranění problému se svým fondem likvidity. MetronomeDAO na Twitteru uvedla, že její vyšetřování toho, co se stalo, pokračuje, a útok popsala jako „součást širšího souboru exploitů“.
V případě JPEG’d byl útočník předstižen botem s maximální extrahovatelnou hodnotou (MEV), uvedl Dolev. Bot identifikoval transakci potenciálního útočníka a zaplatil poplatek za provedení podobné transakce před ním.
Vyper na Twitteru uvedl, že selhal kompilátor programovacího jazyka. Když vývojář dokončí psaní kódu, zkompiluje jej z lidsky čitelného formátu do podoby, kterou mohou počítače spustit.
To zabránilo fungování ochran proti opětovnému vstupu – ochran, které byly zahrnuty do kódu projektů a měly by chránit před útoky proti opětovnému vstupu, uvedl Dolev.
„Kompilátor v některých verzích selhal při kompilaci správným způsobem,“ řekl Dolev. „Vyskytly se v něm některé chyby nebo selhání.“
