Различные команды, форкнувшие код Curve Finance, сообщают об эксплойтах после того, как злоумышленник обнаружил уязвимость в старом компиляторе языка программирования Vyper.
Curve Finance — это децентрализованная биржа для стабильных свопов между стейблкоинами и криптовалютными токенами, такими как Ethereum и Wrapped Ethereum (WETH).
В воскресенье платформа была взломана с целью получения примерно 52 млн. долл.
Помимо ущерба, нанесенного самой Curve, взлом выявил критическую уязвимость в более широкой экосистеме DeFi, в частности, в смарт-контрактах, созданных с использованием некоторых версий языка программирования Vyper.
Как рассказал TCN руководитель отдела архитектуры решений OpenZeppelin Майкл Левелан, это имеет последствия, поскольку Vyper широко используется в различных криптопроектах — хотя и гораздо реже, чем Solidity.
Согласно твиту команды Vyper, контракты, разработанные с использованием Vyper версий 0.2.15, 0.2.16 и 0.3.0, в настоящее время «уязвимы к сбоям в работе замков реентерабельности. «
PSA: Vyper версий 0.2.15, 0.2.16 и 0.3.0 уязвимы к сбоям в работе замков реентерабельности. Расследование продолжается, но все проекты, использующие эти версии, должны немедленно связаться с нами.
— Vyper (@vyperlang) July 30, 2023
Команда настоятельно просит разработчиков других dApp на базе Vyper «немедленно решить» эту проблему. «Это не проблема протоколов или кода dapps, а проблема самого Vyper, который является минорным языком EVM, но существует уже давно», — сообщил TCN разработчик решений Open Zeppelin Густаво Гонсалес.
Псевдонимный разработчик Vyper, señor doggo, подозревает причастность «спонсируемых государством хакеров», основываясь на уровне ресурсов, времени и опыта, использованных для осуществления взлома и раскрытия уязвимости с помощью смарт-контрактов Curve.
Компания Officer’s Notes, независимый исследователь безопасности, сообщила TCN, что смарт-контракты Vyper «могут быть уязвимы при соблюдении двух условий».
Во-первых, это то, что контракт построен с использованием Vyper версии 0.2.15. Во-вторых, если в коде не реализованы соответствующие гарантии добавления и удаления ликвидности.
Определенный тип пула фабрики кривых подвергается атаке реентерабельности только на чтение, что приводит к общим потерям в размере $11 млн (@JPEGd_69) + $13 млн (@AlchemixFi) + …
Первичное исследование показало, что компилятор vyper (0.2.15) некорректно реализует защиту от реентераций.
add_liquidity и… pic.twitter.com/avaHdtSFsm
— Tony KΞ (@tonyke_bot) July 30, 2023
Еще одной проблемой, ускорившей распространение эксплойта, стало то, что информация об ошибке была опубликована в Twitter до того, как она была устранена.
Это привело «к некоторой обратной реакции из-за того, что эта информация могла быть использована для дальнейших атак», — сказал Левеллан в интервью TCN. «В сообществе специалистов по безопасности ETH есть опасения, что распространение информации об ошибках должно быть более сдержанным. «
Curve forks сообщает об эксплойтах
Форки протокола Curve на другие цепочки также появляются с аналогичными сообщениями об эксплойтах.
Ellipsis Finance, авторизованный форк Curve с общим объемом депозитов 6,5 млн. долларов США, согласно данным DeFiLlama, сообщил сегодня утром в твиттере, что «небольшое количество стейблпулов с BNB» подверглось эксплуатации
Небольшое количество stablepool’ов с BNB, использующих старый компилятор Vyper, подверглось эксплуатации.
Мы оцениваем ситуацию и сообщим сообществу о дальнейших результатах. https://t.co/pxkhRRSr5w
— Ellipsis (@Ellipsisfi) July 30, 2023
Команда Curve Finance также сообщила, что пул Tricrypto, состоящий из USDT, WBTC и ETH, развернутый Curve на решении второго уровня Arbitrum, также «потенциально затронут», но пока не эксплуатируется.
Децентрализованный фонд Auxo DAO с общим объемом депозитов 5,4 млн долл. принял решение вывести ликвидность из пулов Curve и Convex Finance, чтобы «снизить риски заражения».
Для снижения рисков распространения инфекции все позиции были оперативно выведены из пулов Curve / Convex до дальнейшего уведомления.
Казначейские позиции в пуле @AlchemixFi alETH/ETH составляют 429,6 ETH. Мы следим за ситуацией, дополнительная информация будет предоставлена в ближайшее время. https://t.co/wewmvWavwM
— Auxo (@AuxoDAO) July 30, 2023
Convex Finance — DeFi приложение, предлагающее стратегию оптимизации доходности токенов CRV компании Curve с общим объемом депозитов 1,382 млрд долл. по данным DefiLlama. Со вчерашнего дня после эксплойта Curve его ликвидность упала на 52,5% с 2,91 млрд. долл.
По данным панели Dune, в ней находится 298,3 млн. токенов CRV, что составляет одну треть циркулирующего предложения CRV.