攻撃者がプログラミング言語Vyperの古いコンパイラの脆弱性を発見した後、Curve Financeのコードをフォークした様々なチームが現在エクスプロイトを報告している。
Curve Financeは、ステーブルコインとイーサリアムやWrapped Ethereum (WETH)などの暗号トークン間の安定したスワップのための分散型取引所です。
日曜日にこのプラットフォームが悪用され、推定5200万ドルが奪われた。
このハッキングは、Curve自体の被害だけでなく、より広いDeFiエコシステムにおける重大な脆弱性を暴露し、特にプログラミング言語Vyperの特定のバージョンを使用して構築されたスマートコントラクトに影響を与えた。
OpenZeppelinのソリューション・アーキテクチャ責任者であるMichael Lewellan氏がTCNに語ったところによると、Vyperは様々な暗号プロジェクトで広く使われているため、この影響は波及している。
Vyperチームのツイートによると、Vyperバージョン0.2.15、0.2.16、0.3.0で開発されたコントラクトは現在、「リエントランシー・ロックが誤作動する脆弱性がある」
。
PSA: Vyper バージョン 0.2.15、0.2.16、0.3.0 にはリエントランシーロックの不具合による脆弱性があります。調査は進行中ですが、これらのバージョンに依存しているプロジェクトは直ちに私たちに連絡してください。
– Vyper (@vyperlang) 2023年7月30日
チームは、他のVyperベースのdAppsの開発者に対し、この問題に「直ちに対処」するよう強く求めています。「Open Zeppelinのソリューション開発者Gustavo Gonzales氏はTCNに、「これはプロトコルやdappsのコードの問題ではなく、Vyper自体の問題である。
偽名Vyper開発者のseñor doggo氏は、ハッキングの実行とCurveスマートコントラクトによる脆弱性の暴露に使われたリソース、時間、専門知識のレベルに基づいて、「国家に支援されたハッカー」の関与を疑っている。
独立系のセキュリティ研究者であるOfficer’s NotesはTCNに対し、Vyperスマートコントラクトは “2つの条件が満たされた場合、脆弱である可能性がある “と述べた。
第一に、コントラクトがVyperバージョン0.2.15を使って構築されていること。第二に、流動性の追加と削除のための適切なセーフガードがコードに実装されていないことである
。
Certain type of Curve factory pool is encounter read-only reentrancy attack and causing total loss of $11m(@JPEGd_69) + $13m(@AlchemixFi) + …
最初の調査で、vyperコンパイラ(0.2.15)がリエントランシー・ガードを正しく実装していないことが判明。
add_liquidityと… pic.twitter.com/avaHdtSFsm
-トニーKΞ (@tonyke_bot) 2023年7月30日
エクスプロイトの被害を加速させたと思われるもう1つの問題は、エクスプロイトが緩和される前にバグの詳細がツイッターに投稿されたことだ。
このため、「この情報がさらなる攻撃に利用される可能性があるとして、反発もあった」とLewellan氏はTCNに語った。「ETHのセキュリティ・コミュニティでは、バグの情報伝達はもっと慎重であるべきだという懸念がある。
カーブフォークがエクスプロイトを報告
Curveプロトコルのフォークが他のチェーンでも発生しており、同様のエクスプロイトが報告されている。
DeFiLlamaのデータによると、総預金額650万ドルの公認CurveフォークであるEllipsis Financeは今朝、「BNBのある少数のstablepools」が悪用されたとツイートした
。
A small number of stablepools with BNB using an old Vyper compiler has been exploited.
現在状況を調査中であり、さらなる発見があればコミュニティに報告します。https://t.co/pxkhRRSr5w
– Ellipsis (@Ellipsisfi) 2023年7月30日
Curve Financeチームはまた、USDT、WBTC、ETHで構成されるTricryptoプール(Curveがレイヤー2ソリューションArbitrum上に展開している)も「影響を受ける可能性がある」と述べたが、まだ悪用されていない。
総額540万ドル相当の預金を持つ分散型イールドファーミングファンドAuxo DAOは、「伝染リスクを軽減する」ためにCurveとConvex Financeのプールから流動性を取り除くことを決定した。
To mitigate contagion risks all positions are promptly removed from Curve / Convex until further notice.
@AlchemixFiのalETH/ETHプールへのトレジャリーエクスポージャーは429.6ETHです。状況を注視しており、詳細は近日中にお知らせします。https://t.co/wewmvWavwM
– Auxo (@AuxoDAO) 2023年7月30日
Convex Financeは、CurveのCRVトークンの利回り最適化戦略を提供するDeFiアプリケーションで、DefiLlamaのデータによると、総預金額は13億8,200万ドルに相当する。その流動性はCurveの悪用後、昨日から29.1億ドルから52.5%急落している。
Duneのダッシュボードによると、2億9,830万CRVトークンを保有しており、CRVの流通量の3分の1に相当する。