今朝、Curve Financeは、いくつかのイーサリアムプールとは別に、Arbitrumベースの流動性プールも週末に「影響を受けた可能性がある」と述べた。
Curve Financeは人気のある分散型取引所(DEX)で、ユーザーにイーサリアムとステイクドイーサリアム、またはテザーのUSDTとサークルのUSDCのような資産を交換させる。多くのトレーダーにとって、これらの資産の価格が互いに切り離された場合、アービトラージツールとして役立つ。
最初の報告によると、このプラットフォームは日曜日に2400万ドル以上で悪用された。しかし、ブロックチェーンセキュリティ会社のPeckShieldは、ハッキングがリアルタイムで展開される中、盗まれた金額を5200万ドルに更新した。
分散型取引所のチームはツイートの中で、イーサリアム(ETH)とカーブガバナンストークンCRVと対になったトークンのための3つの流動性プールと、Alchemix(alETH)、Metronome Synth(smETH)、JPEG’d(pETH)で発行されたいくつかのERC-20トークンが「Vyperコンパイラのバージョンの問題」により「ハッキングされた」と書いている。
Vyperはイーサリアムのブロックチェーン上でスマートコントラクトを記述するためのプログラミング言語である。このプログラミング言語のコアチームは今朝、Vyperプログラミング言語のいくつかの古いバージョンに脆弱性があるとツイートした
。
PSA: Vyperのバージョン0.2.15、0.2.16、0.3.0には、リエントランシーロックの誤動作による脆弱性があります。調査は進行中ですが、これらのバージョンに依存しているプロジェクトは直ちに私たちに連絡してください。
– Vyper (@vyperlang) 2023年7月30日
プログラミング言語のリード・コントリビューターもツイッターに投稿し、ハッカーは脆弱性を「見つけるのに数週間から数カ月」を費やした可能性が高いと述べた。
Curveのチームによる最新のツイートは、Vyperベースのリクイディティ・プールがレイヤー2ソリューションのArbitrumに導入されたことによる別の影響を強調した。同チームによると、Tricryptoは3つのトークンで構成されている: USDC、wBTC、ETHが “影響を受ける可能性がある “という。
このツイートでは、監査人やVyperの開発者のようなセキュリティ専門家はまだ “有益なエクスプロイト “の方法を発見していないが、プールは依然として脆弱であり、流動性プロバイダーに “その1つから撤退する “よう助言している。
別のところでは、BNBチェーンベースの別のDEX Ellipsisが、BNBチェーン上の安定したスワッププールの悪用を報告している。
古い Vyper コンパイラを使用した BNB の少数の stablepool が悪用されています。
現在状況を調査中であり、さらなる発見があればコミュニティに報告します。https://t.co/pxkhRRSr5w
– Ellipsis (@Ellipsisfi) 2023年7月30日
韓国の暗号取引所Upbitは、予防措置としてCRVトークンの入出金を一時停止すると発表した。
同取引所はプレスリリースで、「Upbitはこの状況を引き続き監視し、会員はCurveの価格変動率の上昇に注意するよう勧告する」と記した
。