Vanochtend zei Curve Finance dat naast verschillende Ethereumpools ook een op Arbitrum gebaseerde liquiditeitspool in het weekend “mogelijk is gehackt”.
Curve Finance is een populaire gedecentraliseerde uitwisseling (DEX), die gebruikers gelijkaardige activa laat ruilen zoals Ethereum voor Staked Ethereum, of USDT van Tether voor USDC van Circle. Het kan een nuttig arbitrage-instrument zijn voor veel handelaren als deze activa in prijs van elkaar losgekoppeld zijn.
Volgens de eerste berichten werd het platform zondag misbruikt voor meer dan $24 miljoen. Echter, blockchain beveiligingsbedrijf PeckShield heeft het gestolen bedrag bijgewerkt naar $52 miljoen terwijl de hack zich in real-time ontvouwt.
Het team van de gedecentraliseerde beurs schreef in de tweet dat drie liquiditeitspools voor tokens gekoppeld aan Ethereum (ETH) en Curve governance token CRV, en verschillende ERC-20 tokens uitgegeven op Alchemix (alETH), Metronome Synth (smETH), JPEG’d (pETH) “werden gehackt” als gevolg van een “probleem in Vyper compiler” versies.
Vyper is een programmeertaal voor het schrijven van slimme contracten op de Ethereum blockchain. Het kernteam van de programmeertaal tweette vanmorgen dat sommige oudere versies van de Vyper programmeertaal kwetsbaar waren voor uitbuiting.
PSA: Vyper versies 0.2.15, 0.2.16 en 0.3.0 zijn kwetsbaar voor slecht functionerende reentrancy locks. Het onderzoek is nog gaande, maar elk project dat vertrouwt op deze versies moet onmiddellijk contact met ons opnemen.
– Vyper (@vyperlang) Juli 30, 2023
Een hoofdmedewerker voor de programmeertaal ging ook naar Twitter en zei dat de hackers waarschijnlijk “weken tot maanden bezig waren om” de kwetsbaarheid te vinden.
De laatste tweet van het Curve-team benadrukte een ander domino-effect op de op Vyper gebaseerde liquiditeitspool bij de inzet ervan op de layer-2 oplossing Arbitrum. Het team zei dat Tricrypto, dat bestaat uit drie tokens: USDC, wBTC en ETH “mogelijk werd beïnvloed.”
In de tweet stond dat hoewel beveiligingsexperts zoals auditors en Vyper-ontwikkelaars nog geen manier hebben gevonden voor een “winstgevende exploit,” de pools kwetsbaar blijven en dat ze liquiditeitsaanbieders adviseerden om “die te verlaten.”
Elders heeft een andere op BNB Chain gebaseerde DEX Ellipsis een exploit gemeld van stabiele swappools op BNB Chain.
Er is misbruik gemaakt van een klein aantal stablepools met BNB die een oude Vyper compiler gebruiken.
We beoordelen de situatie en zullen de gemeenschap op de hoogte houden van verdere bevindingen. https://t.co/pxkhRRSr5w
– Ellipsis (@Ellipsisfi) Juli 30, 2023
De Zuid-Koreaanse cryptobeurs Upbit heeft uit voorzorg de tijdelijke opschorting van stortingen en opnames van CRV-tokens aangekondigd.
De exchange schreef in het persbericht dat, “Upbit deze situatie zal blijven monitoren en leden wordt geadviseerd om aandacht te besteden aan de toename in prijsvolatiliteit van Curve.”
