V neděli 30. července 2023 světem decentralizovaných financí otřásl rozsáhlý útok využívající zranitelnost v programovacím jazyce Vyper, který používá několik poolů likvidity protokolu Curve. Jak se útočníkům podařilo ukrást více než 41 milionů dolarů?
Na vině je chyba v jazyce Vyper
Útočníci zneužili zranitelnost v některých poolech likvidity populárního decentralizovaného finančního protokolu Curve (DeFi). Zranitelnost byla vystopována ve Vyperu, alternativním programovacím jazyce pro chytré kontrakty Ethereum.
Ve skutečnosti bylo zneužito několik poolů Curve využívajících Vyper, což podle bezpečnostní firmy BlockSec vedlo ke ztrátám odhadovaným na 41 milionů dolarů. Bylo totiž zjištěno, že verze Vyper 0.2.15, 0.2.16 a 0.3.0 jsou zranitelné vůči útoku reentrance.
Konkrétně k němu dochází, když funkce inteligentního kontraktu provede externí volání jiného nespolehlivého inteligentního kontraktu. Ta pak provede rekurzivní volání původní funkce s cílem odčerpat finanční prostředky. Protože inteligentní smlouva před odesláním prostředků neaktualizuje svůj stav, může útočník průběžně volat funkci pro výběr prostředků, aby je odčerpal.
Podle analýzy bezpečnostní firmy Ancilia používalo 136 chytrých smluv verzi Vyper 0.2.15, 98 chytrých smluv verzi Vyper 0.2.16 a 226 chytrých smluv verzi Vyper 0.3.0:
Na githubu jsme provedli rychlé spuštění.
Bylo nalezeno 136 kontraktů zkompilovaných pomocí vyper 0.2.15 a používajících reentrantní ochranu;
Nalezeno 98 kontraktů s verzí 0.2.16.
Nalezeno 226 kontraktů s verzí 0.3.0– Ancilia, Inc (@AnciliaInc) July 30, 2023
V důsledku toho bylo několik bazénů zcela zbaveno likvidity:
- Curve’s CRV-ETH pool: ztráta 14 milionů dolarů.
- Alchemixův pool alETH-ETH: ztráta 13,66 milionu USD;
- JPEG’s pETH-ETH pool: ztráta 11,4 milionu USD;
Metronome’s sETH-ETH pool: ztráty ve výši 1,6 milionu USD.
Na Twitteru společnost Vyper vysvětlila, že závada byla způsobena kompilátorem programovacího jazyka, který v některých případech selhal. V důsledku toho nefungovala ochrana proti útokům typu reentrance.
Token CRV prudce klesá
Po útoku na pooly společnosti Curve začala cena CRV rychle klesat. Během pouhých 60 minut se hodnota CRV propadla z 0,70 USD na 0,59 USD, což představuje pokles o přibližně 16 %:
Vývoj ceny CRV po útoku
