Domenica diversi protocolli di finanza decentralizzata sono stati colpiti da aggressori che hanno rubato più di 24 milioni di dollari di criptovalute. Gli aggressori hanno sfruttato una vulnerabilità nei pool di liquidità di Curve, la piattaforma di market maker automatizzata.
La vulnerabilità è stata ricondotta a Vyper, un linguaggio di programmazione alternativo di terze parti per gli smart contract di Ethereum, secondo quanto riportato da Curve su Twitter. Curve ha dichiarato che altri pool di liquidità che non sfruttano il linguaggio sono a posto.
Un certo numero di pool di liquidità (alETH/msETH/pETH) che utilizzano Vyper 0.2.15 sono stati sfruttati a causa del malfunzionamento di un blocco di rientranza. Stiamo valutando la situazione e aggiorneremo la comunità sugli sviluppi.
Gli altri pool sono sicuri. https://t.co/eWy2d3cDDj
– Curve Finance (@CurveFinance) 30 luglio 2023
I pool di liquidità sono contratti intelligenti che detengono token e possono fornire liquidità ai mercati delle criptovalute senza ricorrere a intermediari finanziari. Ma, come diversi progetti hanno imparato domenica, una piccola falla può produrre perdite sostanziali.
Secondo la società di sicurezza della finanza decentralizzata Decurity, al protocollo di prestito NFT JPEG’d sono stati rubati 11 milioni di dollari di criptovalute. JPEG’d è stata tra le prime a identificare un problema con il suo pool su Curve.
“C’è stato un attacco”, ha dichiarato JPEG’d su Twitter. “Abbiamo analizzato il problema dal momento in cui ne siamo venuti a conoscenza e […] il problema sembra essere legato al pool Curve”.
JPEG’d consente agli utenti di inviare NFT come garanzia per i prestiti. In termini di beni depositati in JPEG’d, il protocollo ha un valore totale bloccato (TVL) di circa 32 milioni di dollari. JPEG’d ha dichiarato che il codice responsabile della custodia degli NFT e dei fondi di tesoreria non è stato intaccato.
Il token di governance del protocollo JPEG è sceso del 23% al momento in cui scriviamo, secondo i dati di CoinGecko. Domenica la moneta ha toccato il minimo storico di 0,000347 dollari.
In un tweet ora cancellato, Curve ha inizialmente descritto la vulnerabilità come un attacco “re-entrancy” di sola lettura che avrebbe potuto essere evitato. Un attacco di re-entrancy avviene quando uno smart contract interagisce con un altro contratto, che a sua volta richiama il primo contratto prima di eseguirlo completamente.
Le vulnerabilità di re-entrancy consentono a un aggressore di stipare più chiamate in una singola funzione e di ingannare uno smart contract nel calcolo di saldi impropri. Uno degli esempi più evidenti è stato l’hacking di DAO su Ethereum per un valore di 55 milioni di dollari nel 2016.
Rispondendo a un account Twitter che ha ripreso la dichiarazione cancellata in un secondo momento, tuttavia, Curve ha affermato che la sua impressione iniziale era sbagliata.
“Sì, non è di sola lettura”, ha detto Curve, aggiungendo che “non c’è stato alcun illecito da parte dei progetti che hanno integrato, o anche degli utenti di vyper. “
Sì, non solo in lettura. Nessun illecito da parte dei progetti che si sono integrati o degli utenti di vyper
– Curve Finance (@CurveFinance) July 30, 2023
Meir Dolev, cofondatore e CTO dell’azienda di cybersicurezza Cyvers, ha dichiarato a TCN che gli attacchi di rientranza sono un vettore fin troppo comune per gli aggressori di rubare i protocolli.
“Sono abbastanza comuni”, ha detto Dolev. “Ed è possibile evitarli con una progettazione e uno sviluppo adeguati”.
Il problema non era specifico di JPEG’d. Non molto tempo dopo che il protocollo di prestito NFT è stato sfruttato, Alchemix e Metronome DAO hanno perso rispettivamente 13,6 milioni di dollari e 1,6 milioni di dollari in modo simile.
Alchemix ha ammesso su Twitter che sta lavorando attivamente per risolvere un problema con il suo pool di liquidità. MetronomeDAO ha dichiarato su Twitter che la sua indagine sull’accaduto è in corso, descrivendo l’attacco come “parte di una serie più ampia di exploit”.
Nel caso di JPEG’d, l’aggressore è stato preceduto da un bot di valore massimo estraibile (MEV), ha dichiarato Dolev. Il bot ha identificato la transazione dell’aspirante attaccante e ha pagato una tariffa per eseguire una transazione simile prima di lui.
Vyper ha dichiarato su Twitter che è stato il compilatore del linguaggio di programmazione a fallire. Quando uno sviluppatore finisce di scrivere il codice, questo viene compilato da un formato leggibile dall’uomo in una forma che i computer possono eseguire.
Secondo Dolev, questo ha impedito il funzionamento delle protezioni di rientro che erano incluse nel codice dei progetti e che dovrebbero proteggere dagli attacchi di rientro.
“Il compilatore, in alcune versioni, non è riuscito a compilarlo nel modo giusto”, ha detto Dolev. “Presenta alcuni bug o mancanze. “
