Dziś rano Curve Finance poinformowało, że oprócz kilku pul Ethereum, pula płynności oparta na Arbitrum mogła również zostać „potencjalnie dotknięta” w weekend.
Curve Finance to popularna zdecentralizowana giełda (DEX), umożliwiająca użytkownikom wymianę podobnych aktywów, takich jak Ethereum na Staked Ethereum lub Tether’s USDT na Circle’s USDC. Może to być pomocne narzędzie arbitrażowe dla wielu traderów, jeśli te aktywa oddzielą się od siebie ceną.
Według wstępnych doniesień, platforma została wykorzystana w niedzielę za ponad 24 miliony dolarów. Jednak firma PeckShield zajmująca się bezpieczeństwem blockchain zaktualizowała skradzioną kwotę do 52 milionów dolarów, gdy hack rozwija się w czasie rzeczywistym.
Zespół zdecentralizowanej giełdy napisał w tweecie, że trzy pule płynności dla tokenów sparowanych z Ethereum (ETH) i tokenem zarządzania Curve CRV oraz kilka tokenów ERC-20 wydanych na Alchemix (alETH), Metronome Synth (smETH), JPEG’d (pETH) „zostały zhakowane” z powodu „problemu w wersjach kompilatora Vyper”.
Vyper to język programowania do pisania inteligentnych kontraktów na blockchainie Ethereum. Zespół zajmujący się rdzeniem języka programowania napisał dziś rano na Twitterze, że niektóre starsze wersje języka programowania Vyper były podatne na exploity.
PSA: Wersje 0.2.15, 0.2.16 i 0.3.0 języka Vyper są podatne na nieprawidłowe działanie blokad rekurencyjnych. Dochodzenie jest w toku, ale każdy projekt polegający na tych wersjach powinien natychmiast skontaktować się z nami.
– Vyper (@vyperlang) July 30, 2023
Główny współautor języka programowania również zabrał głos na Twitterze, mówiąc, że hakerzy prawdopodobnie spędzili „tygodnie do miesięcy, aby znaleźć” lukę w zabezpieczeniach.
Najnowszy tweet zespołu Curve podkreślił kolejny efekt domina w puli płynności opartej na Vyper w związku z jej wdrożeniem w rozwiązaniu warstwy drugiej Arbitrum. Zespół powiedział, że Tricrypto, składający się z trzech tokenów: USDC, wBTC i ETH został „potencjalnie dotknięty”.
W tweecie czytamy, że chociaż eksperci ds. bezpieczeństwa, tacy jak audytorzy i programiści Vyper, nie znaleźli jeszcze sposobu na „opłacalny exploit”, pule pozostają podatne na ataki i doradzili dostawcom płynności, aby „wyszli z tego”.
Gdzie indziej, inny DEX Ellipsis oparty na BNB Chain zgłosił exploit stabilnych pul swapowych na BNB Chain.
Niewielka liczba stabilnych pul z BNB przy użyciu starego kompilatora Vyper została wykorzystana.
Oceniamy sytuację i będziemy informować społeczność o wszelkich dalszych ustaleniach. https://t.co/pxkhRRSr5w
– Ellipsis (@Ellipsisfi) 30 lipca 2023
Południowokoreańska giełda kryptowalut Upbit ogłosiła tymczasowe zawieszenie wpłat i wypłat tokenów CRV jako środek zapobiegawczy.
Giełda napisała w komunikacie prasowym, że „Upbit będzie nadal monitorować tę sytuację, a członkom zaleca się zwrócenie uwagi na wzrost zmienności cen Curve.”
