Różne zespoły, które rozwidliły kod Curve Finance, zgłaszają teraz exploity po tym, jak atakujący odkrył lukę w starym kompilatorze w języku programowania Vyper.
Curve Finance to zdecentralizowana giełda do stabilnych swapów między stablecoinami i tokenami kryptograficznymi, takimi jak Ethereum i Wrapped Ethereum (WETH).
Platforma została wykorzystana w niedzielę na szacunkową kwotę 52 milionów dolarów.
Oprócz szkód wyrządzonych samej Curve, włamanie ujawniło krytyczną lukę w szerszym ekosystemie DeFi, w szczególności wpływającą na inteligentne kontrakty zbudowane przy użyciu niektórych wersji języka programowania Vyper.
Miało to efekt domina, biorąc pod uwagę, jak powszechny jest Vyper wśród różnych projektów kryptograficznych – choć znacznie mniej niż Solidity, powiedział TCN Michael Lewellan, szef architektury rozwiązań OpenZeppelin.
Zgodnie z tweetem od zespołu Vyper, kontrakty opracowane przy użyciu Vyper w wersjach 0.2.15, 0.2.16 i 0.3.0 są obecnie „podatne na nieprawidłowe działanie blokad reentrancy”.
PSA: Vyper w wersjach 0.2.15, 0.2.16 i 0.3.0 jest podatny na nieprawidłowe działanie blokad reentrancy. Dochodzenie jest w toku, ale każdy projekt polegający na tych wersjach powinien natychmiast skontaktować się z nami.
– Vyper (@vyperlang) July 30, 2023
Zespół zdecydowanie wzywa deweloperów innych dApps opartych na Vyper do „natychmiastowego rozwiązania” tego problemu. „Nie był to problem w protokołach lub kodzie dapps, ale w samym Vyper – który jest mniejszościowym językiem EVM, ale istnieje od dłuższego czasu” – powiedział TCN Gustavo Gonzales, programista rozwiązań w Open Zeppelin.
Pseudonimowy deweloper Vyper, señor doggo, podejrzewa zaangażowanie „hakerów sponsorowanych przez państwo” w oparciu o poziom zasobów, czasu i wiedzy specjalistycznej wykorzystanych do wykonania włamania i ujawnienia luki w inteligentnych kontraktach Curve.
Officer’s Notes, niezależny badacz bezpieczeństwa, powiedział TCN, że inteligentne kontrakty Vyper „mogą być podatne na ataki, jeśli zostaną spełnione dwa warunki”.
Po pierwsze, umowa jest zbudowana przy użyciu Vyper w wersji 0.2.15. Po drugie, odpowiednie zabezpieczenia dodawania i usuwania płynności nie są zaimplementowane w kodzie.
Niektóry typ puli fabryk krzywych napotyka atak reentrancy tylko do odczytu i powoduje łączną stratę w wysokości 11 mln USD (@JPEGd_69) + 13 mln USD (@AlchemixFi) + ….
Wstępne dochodzenie wykazało, że kompilator vyper (0.2.15) nie implementuje poprawnie strażnika reentrancy.
add_liquidity i… pic.twitter.com/avaHdtSFsm
– Tony KΞ (@tonyke_bot) July 30, 2023
Inną kwestią, która mogła przyspieszyć uszkodzenie exploita, było to, że szczegóły błędu zostały opublikowane na Twitterze, zanim exploit został złagodzony.
Doprowadziło to „do pewnego sprzeciwu z powodu potencjalnego wykorzystania tych informacji do dalszych ataków” – powiedział Lewellan w rozmowie z TCN. „W społeczności bezpieczeństwa ETH istnieją obawy, że komunikacja błędów musi być bardziej dyskretna.”
Curve forks zgłasza exploity
Forki protokołu Curve na innych łańcuchach również pojawiają się z podobnymi raportami o exploitach.
Ellipsis Finance, autoryzowany fork Curve z łącznymi depozytami w wysokości 6,5 miliona dolarów, według danych DeFiLlama, napisał dziś rano na Twitterze, że wykorzystano „niewielką liczbę stablepooli z BNB”.
Niewielka liczba stabilnych pul z BNB przy użyciu starego kompilatora Vyper została wykorzystana.
Oceniamy sytuację i będziemy informować społeczność o wszelkich dalszych ustaleniach. https://t.co/pxkhRRSr5w
– Ellipsis (@Ellipsisfi) 30 lipca 2023
Zespół Curve Finance powiedział również, że pula Tricrypto – składająca się z USDT, WBTC i ETH – we wdrożeniu Curve w rozwiązaniu warstwy drugiej Arbitrum była również „potencjalnie zagrożona”, ale nie została jeszcze wykorzystana.
Auxo DAO, zdecentralizowany fundusz typu yield-farming z łącznymi depozytami o wartości 5,4 miliona dolarów, zdecydował się usunąć płynność z pul Curve i Convex Finance, aby „złagodzić ryzyko zarażenia”.
Aby ograniczyć ryzyko zarażenia, wszystkie pozycje zostały niezwłocznie usunięte z Curve / Convex do odwołania.
Ekspozycja skarbowa na pulę @AlchemixFi alETH/ETH wynosi 429,6 ETH. Monitorujemy sytuację, więcej informacji wkrótce. https://t.co/wewmvWavwM
– Auxo (@AuxoDAO) 30 lipca 2023
Convex Finance to aplikacja DeFi, która oferuje strategię optymalizacji zysków dla tokenów Curve CRV o łącznej wartości depozytów 1,382 miliarda dolarów, według danych DefiLlama. Jego płynność spadła o 52,5% z 2,91 mld USD od wczoraj po exploicie Curve.
Ma 298,3 miliona tokenów CRV, zgodnie z pulpitem nawigacyjnym Dune, co stanowi jedną trzecią podaży CRV w obiegu.