Questa mattina Curve Finance ha dichiarato che, oltre a diversi pool di Ethereum, anche un pool di liquidità basato su Arbitrum potrebbe essere stato “potenzialmente colpito” durante il fine settimana.
Curve Finance è un popolare exchange decentralizzato (DEX) che consente agli utenti di scambiare asset simili come Ethereum per Staked Ethereum o USDT di Tether per USDC di Circle. Può essere un utile strumento di arbitraggio per molti trader nel caso in cui questi asset si separino nel prezzo l’uno dall’altro.
Secondo le prime notizie, domenica la piattaforma è stata sfruttata per oltre 24 milioni di dollari. Tuttavia, la società di sicurezza blockchain PeckShield ha aggiornato l’importo rubato a 52 milioni di dollari mentre l’hack si svolge in tempo reale.
Il team dell’exchange decentralizzato ha scritto nel tweet che tre pool di liquidità per i token abbinati a Ethereum (ETH) e al token di governance Curve CRV, e diversi token ERC-20 emessi su Alchemix (alETH), Metronome Synth (smETH), JPEG’d (pETH) “sono stati violati” a causa di un “problema nelle versioni del compilatore Vyper”.
Vyper è un linguaggio di programmazione per la scrittura di contratti intelligenti sulla blockchain di Ethereum. Il team centrale del linguaggio di programmazione ha twittato questa mattina che alcune vecchie versioni del linguaggio di programmazione Vyper erano vulnerabili allo sfruttamento.
PSA: le versioni 0.2.15, 0.2.16 e 0.3.0 di Vyper sono vulnerabili al malfunzionamento dei blocchi di rientranza. L’indagine è in corso, ma tutti i progetti che fanno affidamento su queste versioni devono contattarci immediatamente.
– Vyper (@vyperlang) July 30, 2023
Anche un collaboratore principale del linguaggio di programmazione è intervenuto su Twitter, affermando che gli hacker hanno probabilmente impiegato “settimane o mesi per trovare” la vulnerabilità.
L’ultimo tweet del team di Curve ha evidenziato un altro effetto a catena sul pool di liquidità basato su Vyper, in seguito alla sua implementazione sulla soluzione layer-2 Arbitrum. Il team ha affermato che Tricrypto, composto da tre token: USDC, wBTC e ETH, era “potenzialmente interessato”.
Nel tweet si legge che, sebbene gli esperti di sicurezza come i revisori e gli sviluppatori di Vyper non abbiano ancora trovato un modo per un “exploit redditizio”, i pool rimangono vulnerabili e si consiglia ai fornitori di liquidità di “uscire da questo”.
Altrove, un altro DEX basato su BNB Chain, Ellipsis, ha segnalato un exploit dei pool di swap stabili su BNB Chain.
Un piccolo numero di pool stabili con BNB che utilizzano un vecchio compilatore Vyper sono stati sfruttati.
Stiamo valutando la situazione e aggiorneremo la comunità su eventuali ulteriori risultati. https://t.co/pxkhRRSr5w
– Ellipsis (@Ellipsisfi) 30 luglio 2023
La borsa crittografica sudcoreana Upbit ha annunciato la sospensione temporanea dei depositi e dei prelievi di token CRV come misura precauzionale.
L’exchange ha scritto nel comunicato stampa che “Upbit continuerà a monitorare la situazione e si consiglia ai membri di prestare attenzione all’aumento della volatilità del prezzo di Curve. “
