Heute Morgen teilte Curve Finance mit, dass neben mehreren Ethereum-Pools auch ein Arbitrum-basierter Liquiditätspool über das Wochenende „potenziell betroffen“ war.
Curve Finance ist ein beliebter dezentraler Austausch (DEX), der es den Nutzern ermöglicht, gleichartige Vermögenswerte wie Ethereum gegen Staked Ethereum oder USDT von Tether gegen USDC von Circle zu tauschen. Dies kann für viele Händler ein hilfreiches Arbitrage-Tool sein, wenn sich die Preise dieser Vermögenswerte voneinander entkoppeln.
Ersten Berichten zufolge wurde die Plattform am Sonntag für über 24 Millionen Dollar ausgenutzt. Das Blockchain-Sicherheitsunternehmen PeckShield hat jedoch den gestohlenen Betrag auf 52 Millionen Dollar aktualisiert, während sich der Hack in Echtzeit entfaltet.
Das Team der dezentralen Börse schrieb in einem Tweet, dass drei Liquiditätspools für Token, die mit Ethereum (ETH) und dem Curve-Governance-Token CRV gepaart sind, sowie mehrere ERC-20-Token, die auf Alchemix (alETH), Metronome Synth (smETH) und JPEG’d (pETH) ausgegeben wurden, aufgrund eines „Problems in den Vyper-Compiler-Versionen“ gehackt wurden.
Vyper ist eine Programmiersprache zum Schreiben von Smart Contracts auf der Ethereum-Blockchain. Das Kernteam der Programmiersprache hat heute Morgen getwittert, dass einige ältere Versionen der Vyper-Programmiersprache anfällig für Ausbeutung sind:
PSA: Die Vyper-Versionen 0.2.15, 0.2.16 und 0.3.0 sind anfällig für fehlerhaft funktionierende Reentrancy Locks. Die Untersuchung dauert noch an, aber jedes Projekt, das auf diese Versionen angewiesen ist, sollte sich umgehend mit uns in Verbindung setzen.
– Vyper (@vyperlang) July 30, 2023
Ein leitender Mitarbeiter für die Programmiersprache meldete sich ebenfalls auf Twitter zu Wort und erklärte, dass die Hacker wahrscheinlich „Wochen bis Monate damit verbringen, die Sicherheitslücke zu finden“.
Der jüngste Tweet des Curve-Teams wies auf eine weitere Auswirkung auf den Vyper-basierten Liquiditätspool hin, und zwar auf dessen Einsatz auf der Layer-2-Lösung Arbitrum. Das Team sagte, dass Tricrypto, bestehend aus drei Token: USDC, wBTC und ETH, „potenziell betroffen“ sei.
In dem Tweet hieß es, dass Sicherheitsexperten wie Wirtschaftsprüfer und Vyper-Entwickler noch keinen Weg für einen „profitablen Exploit“ gefunden haben, die Pools aber weiterhin anfällig sind, und riet den Liquiditätsanbietern, „diesen zu verlassen.“
An anderer Stelle hat ein anderer auf BNB Chain basierender DEX Ellipsis einen Exploit von stabilen Swap-Pools auf BNB Chain gemeldet:
Eine kleine Anzahl von Stablepools mit BNB, die einen alten Vyper-Compiler verwenden, wurde ausgenutzt.
Wir bewerten die Situation und werden die Community über weitere Erkenntnisse informieren. https://t.co/pxkhRRSr5w
– Ellipsis (@Ellipsisfi) Juli 30, 2023
Die südkoreanische Kryptobörse Upbit hat die vorübergehende Aussetzung von Ein- und Auszahlungen von CRV-Token als Vorsichtsmaßnahme angekündigt.
In der Pressemitteilung der Börse heißt es: „Upbit wird die Situation weiter beobachten, und den Mitgliedern wird empfohlen, auf den Anstieg der Preisvolatilität von Curve zu achten.“
