Diversi team che hanno effettuato il fork del codice di Curve Finance stanno segnalando exploit dopo che un aggressore ha scoperto una vulnerabilità in un vecchio compilatore del linguaggio di programmazione Vyper.
Curve Finance è uno scambio decentralizzato per scambi stabili tra monete stabili e token crittografici come Ethereum e Wrapped Ethereum (WETH).
La piattaforma è stata sfruttata domenica per un valore stimato di 52 milioni di dollari.
Oltre al danno arrecato a Curve, l’attacco ha messo in luce una vulnerabilità critica nel più ampio ecosistema della DeFi, in particolare per quanto riguarda gli smart contract costruiti utilizzando alcune versioni del linguaggio di programmazione Vyper.
Questo ha avuto effetti a catena, vista la diffusione di Vyper tra i vari progetti di criptovaluta, anche se molto meno di Solidity, ha dichiarato a TCN Michael Lewellan, responsabile dell’architettura delle soluzioni di OpenZeppelin.
Secondo un tweet del team di Vyper, i contratti sviluppati con le versioni 0.2.15, 0.2.16 e 0.3.0 di Vyper sono attualmente “vulnerabili al malfunzionamento dei blocchi di rientranza. “
PSA: le versioni 0.2.15, 0.2.16 e 0.3.0 di Vyper sono vulnerabili al malfunzionamento dei blocchi di rientranza. L’indagine è in corso, ma tutti i progetti che fanno affidamento su queste versioni devono contattarci immediatamente.
– Vyper (@vyperlang) July 30, 2023
Il team invita caldamente gli sviluppatori di altre dApp basate su Vyper a “risolvere immediatamente” questo problema. “Non si tratta di un problema nei protocolli o nel codice delle dApp, ma di un problema in Vyper stesso, che è un linguaggio EVM minoritario, ma che esiste da molto tempo”, ha dichiarato a TCN lo sviluppatore di soluzioni di Open Zeppelin Gustavo Gonzales.
Lo sviluppatore di Vyper pseudonimo, señor doggo, sospetta il coinvolgimento di “hacker sponsorizzati dallo Stato” in base al livello di risorse, tempo e competenze utilizzate per eseguire l’hack e per esporre la vulnerabilità con gli smart contract Curve.
Officer’s Notes, un ricercatore di sicurezza indipendente, ha dichiarato a TCN che gli smart contract Vyper “potrebbero essere vulnerabili se si verificassero due condizioni”.
La prima è che il contratto sia costruito utilizzando la versione 0.2.15 di Vyper. In secondo luogo, è che non siano state implementate nel codice le opportune salvaguardie per l’aggiunta e la rimozione di liquidità.
Un certo tipo di Curve factory pool sta subendo un attacco di reentrancy in sola lettura e sta causando una perdita totale di 11 milioni di dollari (@JPEGd_69) + 13 milioni di dollari (@AlchemixFi) + …
Le prime indagini hanno rilevato che il compilatore vyper (0.2.15) non implementa correttamente la guardia di rientranza.
add_liquidity e… pic.twitter.com/avaHdtSFsm
– Tony KΞ (@tonyke_bot) July 30, 2023
Un altro problema che potrebbe aver accelerato i danni dell’exploit è che i dettagli del bug sono stati pubblicati su Twitter prima che l’exploit fosse mitigato.
Questo ha portato “a qualche contraccolpo dovuto al fatto che queste informazioni sono state potenzialmente utilizzate per ulteriori attacchi”, ha dichiarato Lewellan a TCN. “Nella comunità della sicurezza dei PF si teme che la comunicazione dei bug debba essere più discreta. “
Curve forks segnala gli exploit
Anche i fork del protocollo Curve su altre catene stanno emergendo con segnalazioni di exploit simili.
Ellipsis Finance, un fork autorizzato di Curve con 6,5 milioni di dollari di depositi totali, secondo i dati di DeFiLlama, ha twittato questa mattina che un “piccolo numero di stablepool con BNB” è stato sfruttato.
Un piccolo numero di pool stabili con BNB che utilizzano un vecchio compilatore Vyper sono stati sfruttati.
Stiamo valutando la situazione e aggiorneremo la comunità su eventuali ulteriori risultati. https://t.co/pxkhRRSr5w
– Ellipsis (@Ellipsisfi) 30 luglio 2023
Il team di Curve Finance ha inoltre dichiarato che anche il pool Tricrypto, composto da USDT, WBTC ed ETH, distribuito da Curve sulla soluzione layer-2 Arbitrum, è stato “potenzialmente colpito” ma non ancora sfruttato.
Auxo DAO, un fondo decentralizzato di produzione di rendimenti con depositi totali per 5,4 milioni di dollari, ha deciso di rimuovere la liquidità dai pool Curve e Convex Finance per “mitigare i rischi di contagio”.
Per mitigare i rischi di contagio, tutte le posizioni sono state prontamente rimosse da Curve e Convex fino a nuovo avviso.
L’esposizione della tesoreria al pool @AlchemixFi alETH/ETH è di 429,6 ETH. Stiamo monitorando la situazione, maggiori informazioni a breve. https://t.co/wewmvWavwM
– Auxo (@AuxoDAO) 30 luglio 2023
Convex Finance è un’applicazione DeFi che offre una strategia di ottimizzazione dei rendimenti per i token CRV di Curve, con depositi totali per 1,382 miliardi di dollari, secondo i dati di DefiLlama. La sua liquidità è crollata del 52,5% da 2,91 miliardi di dollari da ieri dopo l’exploit di Curve.
Ha 298,3 milioni di token CRV, secondo un dashboard di Dune, che rappresentano un terzo dell’offerta di CRV in circolazione.