Am Sonntag, den 30. Juli 2023, wurde die dezentrale Finanzwelt von einem Großangriff erschüttert, der eine Schwachstelle in der Programmiersprache Vyper ausnutzte, die von mehreren Liquiditätspools des Curve-Protokolls verwendet wurde. Wie gelang es den Angreifern, mehr als 41 Millionen US-Dollar zu erbeuten?
Eine Schwachstelle in der Programmiersprache Vyper ist schuld
Angreifer nutzten eine Schwachstelle in einigen Liquiditätspools von Curve, dem bekannten dezentralen Finanzprotokoll (DeFi), aus. Die Schwachstelle konnte bis zu Vyper, einer alternativen Programmiersprache für Ethereum-Smart Contracts, zurückverfolgt werden.
Tatsächlich wurden mehrere Curve-Pools, die Vyper verwendeten, ausgenutzt, was laut der Sicherheitsfirma BlockSec zu einem geschätzten Verlust von 41 Millionen US-Dollar führte. In der Tat erwiesen sich die Vyper-Versionen 0.2.15, 0.2.16 und 0.3.0 als anfällig für einen Reentry-Angriff.
Konkret geschieht dies, sobald eine Funktion eines Smart Contracts einen externen Aufruf bei einem anderen, nicht vertrauenswürdigen Smart Contract macht. Dieser führt dann einen rekursiven Aufruf an die ursprüngliche Funktion durch, um Geld abzuziehen. Da der Smart Contract seinen Status nicht aktualisiert, bevor er Geld sendet, kann der Angreifer ständig die Auszahlungsfunktion aufrufen, um Geld abzuziehen.
Laut einer Analyse der Sicherheitsfirma Ancilia verwendeten 136 Smart Contracts Vyper 0.2.15, 98 Smart Contracts verwendeten Vyper 0.2.16 und 226 Smart Contracts verwendeten Vyper 0.3.0:
Wir haben einen Fast Run auf github durchgeführt.
136 Verträge wurden mit vyper 0.2.15 kompiliert und verwendeten reentrant protection;
98 Verträge mit Version 0.2.16 gefunden.
226 contracts found with 0.3.0 version– Ancilia, Inc. (@AnciliaInc) July 30, 2023
Auf diese Weise wurden mehrere Pools komplett von ihren liquiden Mitteln entzogen:
- Der CRV-ETH-Pool von Curve: Verluste in Höhe von 14 Millionen US-Dollar.
- Der alETH-ETH-Pool von Alchemix: 13,66 Millionen Dollar Verlust ;
- Der pETH-ETH-Pool von JPEG’d: 11,4 Millionen Dollar Verlust ;
- Der sETH-ETH-Pool von Metronome: Verluste in Höhe von 1,6 Millionen US-Dollar.
Auf Twitter erklärte Vyper, dass die Fehlfunktion auf den Compiler der Programmiersprache zurückzuführen sei, der in einigen Fällen versagt habe. So hätten die Schutzvorrichtungen gegen Reentry-Angriffe nicht funktioniert.
Das CRV-Token fällt abrupt ab
Nach dem Angriff auf die Curve-Pools begann der CRV-Preis einen rapiden Absturz. Innerhalb von nur 60 Minuten fiel der CRV von 0,70 $ auf 0,59 $, was einem Rückgang von rund 16 % entspricht:
Kursentwicklung des CRV nach dem Angriff
