2023年7月30日日曜日、分散型金融の世界は、いくつかのCurveプロトコルの流動性プールで使用されているVyperプログラミング言語の脆弱性を悪用した大規模な攻撃によって揺れ動いた。攻撃者はどのようにして4100万ドル以上を盗むことに成功したのでしょうか?
Vyper言語の欠陥が原因
攻撃者は、人気の分散型金融プロトコル(DeFi)であるCurveの流動性プールの一部の脆弱性を悪用した。この脆弱性は、イーサリアムのスマートコントラクト用の代替プログラミング言語であるVyperまで遡ることができる。
実際、Vyperを使用したCurveのプールのいくつかが悪用され、セキュリティ企業BlockSecによると、推定4100万ドルの損失が発生した。実際、Vyperのバージョン0.2.15、0.2.16、0.3.0はリエントランス攻撃に対して脆弱であることが判明している。
具体的には、スマートコントラクトの関数が、信頼性の低い別のスマートコントラクトを外部から呼び出す場合に発生する。後者は次に、資金を流出させるために元の関数に再帰的な呼び出しを行う。スマート・コントラクトは資金を送る前に状態を更新しないため、攻撃者は資金を引き出すために引き出し関数を継続的に呼び出すことができる。
セキュリティ企業Anciliaの分析によると、136のスマートコントラクトがVyper 0.2.15を、98のスマートコントラクトがVyper 0.2.16を、226のスマートコントラクトがVyper 0.3.0を使用していた。
githubで高速実行した。
vyper 0.2.15でコンパイルされ、リエントラント保護を使用した136の契約が見つかった;
0.2.16バージョンで98件の契約が見つかった。
226件の契約が0.3.0バージョンで見つかった– Ancilia, Inc (@AnciliaInc) 2023年7月30日
。
その結果、いくつかのプールの流動性は完全に枯渇した。
- CurveのCRV-ETHプール:1,400万ドルの損失
- AlchemixのalETH-ETHプール:1,366万ドルの損失;
- JPEGのpETH-ETHプール:1140万ドルの損失;
MetronomeのSETH-ETHプール:160万ドルの損失。
Vyperはツイッターで、今回の不具合はプログラミング言語のコンパイラによるもので、一部で不具合が生じたと説明した。その結果、リエントランス攻撃に対する防御が機能しなかった。
CRVトークンが急落
Curveのプールが攻撃された後、CRVの価格は急速に下落し始めた。CRVはわずか60分の間に0.70ドルから0.59ドルまで下落し、約16%の下落を記録しました。
Evolution of the CRV price after the attack
