Verschillende teams die de code van Curve Finance hebben geforked, melden nu exploits nadat een aanvaller een kwetsbaarheid heeft ontdekt in een oude compiler in de programmeertaal Vyper.
Curve Finance is een gedecentraliseerde beurs voor stabiele swaps tussen stablecoins en crypto tokens zoals Ethereum en Wrapped Ethereum (WETH).
Het platform werd zondag misbruikt voor een geschatte $ 52 miljoen.
Naast de schade aan Curve zelf, legde de hack een kritieke kwetsbaarheid bloot in het bredere DeFi-ecosysteem, in het bijzonder bij slimme contracten die zijn gebouwd met behulp van bepaalde versies van de programmeertaal Vyper.
Dit had een domino-effect, aangezien Vyper veel gebruikt wordt in verschillende cryptoprojecten, hoewel veel minder dan Solidity, vertelde Michael Lewellan, hoofd architectuur van OpenZeppelin, aan TCN.
Volgens een tweet van het Vyper-team zijn contracten die zijn ontwikkeld met Vyper-versies 0.2.15, 0.2.16 en 0.3.0 momenteel “kwetsbaar voor slecht functionerende reentrancy locks.”
PSA: Vyper versies 0.2.15, 0.2.16 en 0.3.0 zijn kwetsbaar voor slecht functionerende reentrancy sloten. Het onderzoek is nog gaande, maar elk project dat vertrouwt op deze versies moet onmiddellijk contact met ons opnemen.
– Vyper (@vyperlang) Juli 30, 2023
Het team dringt er bij ontwikkelaars van andere op Vyper gebaseerde dApps op aan om dit probleem “onmiddellijk aan te pakken”. “Dit was geen probleem in de protocollen of de code van de dapps, maar een probleem in Vyper zelf, wat een minderheidstaal voor EVM is, maar al heel lang bestaat,” vertelde solutions developer bij Open Zeppelin Gustavo Gonzales aan TCN.
Pseudonieme Vyper-ontwikkelaar, señor doggo, vermoedt de betrokkenheid van “door de staat gesponsorde hackers” op basis van de hoeveelheid middelen, tijd en expertise die is gebruikt voor het uitvoeren van de hack en het blootleggen van de kwetsbaarheid met Curve smart contracts.
Officer’s Notes, een onafhankelijke beveiligingsonderzoeker, vertelde TCN dat de Vyper smart contracts “kwetsbaar kunnen zijn als aan twee voorwaarden wordt voldaan.”
De eerste is dat het contract is gebouwd met Vyper versie 0.2.15. Ten tweede is het dat de juiste beveiligingen voor het toevoegen en verwijderen van liquiditeit niet zijn geïmplementeerd in de code.
Een bepaald type Curve factory pool wordt geconfronteerd met alleen-lezen reentrancy aanval en veroorzaakt een totaal verlies van $11m(@JPEGd_69) + $13m(@AlchemixFi) + …
Eerste onderzoek wees uit dat de vyper compiler (0.2.15) de reentrancy guard niet correct implementeert.
add_liquidity en… pic.twitter.com/avaHdtSFsm
– Tony KΞ (@tonyke_bot) Juli 30, 2023
Een ander probleem dat de schade van de exploit kan hebben versneld, was dat de details van de bug op Twitter werden geplaatst voordat de exploit was gemitigeerd.
Dit leidde “tot enige terugslag omdat deze informatie mogelijk werd gebruikt voor verdere aanvallen”, vertelde Lewellan aan TCN. “Er zijn zorgen in de ETH-beveiligingsgemeenschap dat de communicatie van bugs discreter moet zijn.”
Curve forks melden exploits
Curve protocol forks op andere ketens verschijnen ook met vergelijkbare exploit rapporten.
Ellipsis Finance, een geautoriseerde Curve fork met $6,5 miljoen aan totale deposito’s, volgens de gegevens van DeFiLlama, tweette vanochtend dat een “klein aantal stablepools met BNB” werden misbruikt.
Er is misbruik gemaakt van een klein aantal stablepools met BNB die gebruik maken van een oude Vyper compiler.
We beoordelen de situatie en zullen de gemeenschap op de hoogte houden van verdere bevindingen. https://t.co/pxkhRRSr5w
– Ellipsis (@Ellipsisfi) Juli 30, 2023
Het team van Curve Finance zei ook dat de Tricrypto pool, bestaande uit USDT, WBTC en ETH, op Curve’s implementatie op de layer-2 oplossing Arbitrum ook “mogelijk getroffen” was, maar nog niet misbruikt.
Auxo DAO, een gedecentraliseerd yield-farming fonds met totale deposito’s ter waarde van $5,4 miljoen, besloot liquiditeit te verwijderen uit Curve en Convex Finance pools om “besmettingsrisico’s te beperken.”
Om besmettingsrisico’s te beperken zijn alle posities tot nader order onmiddellijk uit Curve / Convex verwijderd.
De treasury blootstelling aan de @AlchemixFi alETH/ETH pool is 429,6 ETH. We houden de situatie in de gaten, binnenkort meer informatie. https://t.co/wewmvWavwM
– Auxo (@AuxoDAO) Juli 30, 2023
Convex Finance is een DeFi-toepassing die een strategie biedt om de opbrengst van Curve’s CRV-tokens te optimaliseren, met totale deposito’s ter waarde van $1,382 miljard, volgens gegevens van DefiLlama. De liquiditeit is met 52,5% gedaald van $ 2,91 miljard sinds gisteren na de exploit van Curve.
Het heeft 298,3 miljoen CRV tokens, volgens een dashboard van Dune, wat neerkomt op een derde van het circulerende aanbod van CRV.
