Verschiedene Teams, die den Code von Curve Finance geforkt haben, melden nun Exploits, nachdem ein Angreifer eine Schwachstelle in einem alten Compiler der Programmiersprache Vyper entdeckt hat.
Curve Finance ist eine dezentrale Börse für stabile Swaps zwischen Stablecoins und Krypto-Token wie Ethereum und Wrapped Ethereum (WETH).
Die Plattform wurde am Sonntag für schätzungsweise 52 Millionen Dollar ausgenutzt.
Neben dem Schaden, der Curve selbst zugefügt wurde, deckte der Hack eine kritische Schwachstelle im breiteren DeFi-Ökosystem auf, die insbesondere Smart Contracts betrifft, die mit bestimmten Versionen der Programmiersprache Vyper erstellt wurden.
Dies hatte Auswirkungen auf die Verbreitung von Vyper in verschiedenen Krypto-Projekten – wenn auch in geringerem Maße als Solidity, wie Michael Lewellan, Leiter der Lösungsarchitektur von OpenZeppelin, gegenüber TCN erklärte.
Einem Tweet des Vyper-Teams zufolge sind Verträge, die mit den Vyper-Versionen 0.2.15, 0.2.16 und 0.3.0 entwickelt wurden, derzeit „anfällig für fehlerhaft funktionierende Reentrancy Locks“.
PSA: Die Vyper-Versionen 0.2.15, 0.2.16 und 0.3.0 sind anfällig für schlecht funktionierende Reentrancy Locks. Die Untersuchung dauert noch an, aber jedes Projekt, das auf diese Versionen angewiesen ist, sollte sich umgehend mit uns in Verbindung setzen.
– Vyper (@vyperlang) July 30, 2023
Das Team bittet die Entwickler anderer Vyper-basierter dApps dringend darum, dieses Problem „sofort zu beheben“. „Dies war kein Problem in den Protokollen oder im Code der Apps, sondern ein Problem in Vyper selbst – einer EVM-Sprache, die in der Minderheit ist, aber schon seit langem existiert“, sagte Gustavo Gonzales, Entwickler von Open Zeppelin, gegenüber TCN.
Der pseudonyme Vyper-Entwickler señor doggo vermutet, dass „staatlich gesponserte Hacker“ involviert sind, basierend auf dem Umfang der Ressourcen, der Zeit und der Expertise, die für die Ausführung des Hacks und die Aufdeckung der Schwachstelle mit Curve Smart Contracts verwendet wurden.
Officer’s Notes, ein unabhängiger Sicherheitsforscher, erklärte gegenüber TCN, dass die Vyper-Smart Contracts „anfällig sein könnten, wenn zwei Bedingungen erfüllt sind.“
Die erste ist, dass der Vertrag mit Vyper Version 0.2.15 erstellt wurde. Zweitens sind im Code keine angemessenen Sicherheitsvorkehrungen für das Hinzufügen und Entfernen von Liquidität implementiert.
Bestimmter Typ des Curve Factory Pools wird von einem Read-Only-Rentrancy-Angriff heimgesucht und verursacht einen Gesamtverlust von $11 Mio.(@JPEGd_69) + $13 Mio.(@AlchemixFi) + …
Erste Untersuchungen ergaben, dass der vyper-Compiler (0.2.15) den Reentrancy Guard nicht korrekt implementiert.
add_liquidity und… pic.twitter.com/avaHdtSFsm
– Tony KΞ (@tonyke_bot) July 30, 2023
Ein weiteres Problem, das den Schaden des Exploits beschleunigt haben könnte, war die Tatsache, dass die Details des Fehlers auf Twitter gepostet wurden, bevor der Exploit entschärft worden war.
Dies führte „zu einer gewissen Gegenreaktion, da diese Informationen möglicherweise für weitere Angriffe verwendet wurden“, so Lewellan gegenüber TCN. „Es gibt Bedenken in der ETH-Sicherheitsgemeinschaft, dass die Kommunikation von Bugs diskreter sein muss. „
Curve Forks melden Exploits
Curve-Protokoll-Forks auf anderen Ketten tauchen ebenfalls mit ähnlichen Exploit-Berichten auf.
Ellipsis Finance, ein autorisierter Curve-Fork mit 6,5 Millionen Dollar an Gesamteinlagen (laut DeFiLlama-Daten), twitterte heute Morgen, dass eine „kleine Anzahl von Stablepools mit BNB“ ausgenutzt wurde.
Eine kleine Anzahl von Stablepools mit BNB, die einen alten Vyper-Compiler verwenden, wurde ausgenutzt.
Wir bewerten die Situation und werden die Community über weitere Erkenntnisse informieren. https://t.co/pxkhRRSr5w
– Ellipsis (@Ellipsisfi) Juli 30, 2023
Curve Finance Team sagte auch, dass der Tricrypto-Pool, der aus USDT, WBTC und ETH besteht, auf Curves Einsatz auf der Layer-2-Lösung Arbitrum ebenfalls „potenziell betroffen“ war, aber noch nicht ausgenutzt wurde.
Auxo DAO, ein dezentraler Renditefonds mit Gesamteinlagen in Höhe von 5,4 Millionen US-Dollar, beschloss, die Liquidität aus den Pools von Curve und Convex Finance zu entfernen, um „Ansteckungsrisiken zu mindern“.
Um Ansteckungsrisiken zu mindern, wurden alle Positionen bis auf Weiteres aus Curve / Convex entfernt.
Das Treasury-Engagement im @AlchemixFi alETH/ETH-Pool beträgt 429,6 ETH. Wir beobachten die Situation, weitere Informationen folgen in Kürze. https://t.co/wewmvWavwM
– Auxo (@AuxoDAO) Juli 30, 2023
Convex Finance ist eine DeFi-Anwendung, die eine Renditeoptimierungsstrategie für die CRV-Token von Curve anbietet, mit Gesamteinlagen im Wert von 1,382 Milliarden US-Dollar, laut DefiLlama-Daten. Seine Liquidität ist seit gestern nach dem Exploit von Curve um 52,5 % von 2,91 Mrd. $ gesunken.
Laut einem Dune-Dashboard gibt es 298,3 Millionen CRV-Token, was einem Drittel des zirkulierenden CRV-Angebots entspricht.
