Am 30. Juli wurden mehrere stabile Pools auf Curve Finance unter Verwendung von Vyper ausgenutzt, wobei sich die Verluste zum Zeitpunkt des Schreibens auf 24 Millionen US-Dollar beliefen. Laut Vyper sind die Versionen 0.2.15, 0.2.16 und 0.3.0 anfällig für fehlerhafte Wiedereintrittssperren.
„Die Untersuchung ist noch nicht abgeschlossen, aber jedes Projekt, das auf diesen Versionen basiert, sollte sich umgehend an uns wenden“, sagte Vyper schrieb auf X. Basierend auf einer Analyse von betroffen Verträge der Sicherheitsfirma Ancilia, 136 Verträge verwendeten Vyper 0.2.15 mit Wiedereintrittsschutz, 98 Verträge verwendeten Vyper 0.2.16 und 226 Verträge verwendeten Vyper 0.3.0.
Eine Reihe stabiler Pools (alETH/msETH/pETH), die Vyper 0.2.15 verwenden, wurden aufgrund einer fehlerhaften Wiedereintrittssperre ausgenutzt. Wir bewerten die Situation und werden die Community über die weitere Entwicklung informieren.
Andere Pools sind sicher. https://t.co/eWy2d3cDDj
— Curve Finance (@CurveFinance) 30. Juli 2023
Ersten Untersuchungen zufolge implementieren einige Versionen des Vyper-Compilers den Wiedereintrittsschutz nicht korrekt, der durch das Sperren eines Vertrags verhindert, dass mehrere Funktionen gleichzeitig ausgeführt werden. Wiedereintrittsangriffe können möglicherweise alle Mittel aus einem Vertrag abziehen.
Vyper ist eine vertragsorientierte, pythonische Programmiersprache, die auf die Ethereum Virtual Machine (EVM) abzielt. Die Ähnlichkeiten von Vyper mit Python machen die Sprache zu einem Ausgangspunkt für Python-Entwickler, die in Web3 einsteigen.
Von dem Angriff waren mehrere dezentrale Finanzprojekte betroffen. Dezentraler Austausch Ellipsis gemeldet dass eine kleine Anzahl stabiler Pools mit BNB mit einem alten Vyper-Compiler ausgenutzt wurde. Alchemix’s alETH-ETH verzeichnete ebenfalls einen Abfluss von 13,6 Millionen US-Dollar, zusammen mit 11,4 Millionen US-Dollar, die im pETH-ETH-Pool von JPEGd ausgenutzt wurden, und 1,6 Millionen US-Dollar im sETH-ETH-Pool von Metronome. Benutzer von Telegram haben Millionen von CRV-Tokens gemeldet ziehen um in den letzten Stunden. Es ist unklar, welche Transaktionen mit dem Exploit zusammenhängen und welche MEV-Bots den Ripple-Effekt nutzen.
Bestimmte Arten von Curve-Factory-Pools sind einem schreibgeschützten Wiedereintrittsangriff ausgesetzt und verursachen einen Gesamtverlust von 11 Millionen US-Dollar(@JPEGd_69) + 13 Mio. USD(@AlchemixFi) + …
Erste Untersuchungen haben ergeben, dass der Vyper-Compiler (0.2.15) den Wiedereintrittsschutz nicht korrekt implementiert.
add_liquidity und… pic.twitter.com/avaHdtSFsm
— Tony KΞ (@tonyke_bot) 30. Juli 2023
Der Exploit löste im gesamten DeFi-Ökosystem Panik aus und löste eine Welle von Transaktionen über Pools hinweg aus Rettung Betrieb von White Hats. Daten von CoinMarketCap zeigt an Der Utility-Token Curve DAO (CRV) von Curve Finance fiel als Reaktion auf die Nachricht um über 5 %. Wie Cointelegraph berichtete, ist die Liquidität von CRV in den letzten Monaten erheblich zurückgegangen, was das Unternehmen anfällig für heftige Preisschwankungen macht. Laut Curve Finance waren crvUSD-Verträge und alle damit verbundenen Pools von dem Angriff nicht betroffen.
Curve Finance ist ein DeFi-Protokoll, das den dezentralen Austausch (DEX) von Stablecoins innerhalb von Ethereum ermöglicht. Das Protokoll wurde von einer Reihe von Vorfällen in seinem Ökosystem betroffen. Erst vor wenigen Tagen wurde seine Omnipool-Plattform Conic Finance für 3,26 Millionen US-Dollar in Ether (ETH) ausgenutzt, wobei fast der gesamte gestohlene Betrag in nur einer Transaktion an eine neue Ethereum-Adresse geschickt wurde.
DeFi-Protokolle wurden in den letzten Monaten mehrfach angegriffen. Laut einem Bericht der Web3-Portfolio-App De.Fi wurden allein im zweiten Quartal 2023 mehr als 204 Millionen US-Dollar durch DeFi-Hacks und -Betrügereien betrogen.
Magazin: Sollten Kryptoprojekte jemals mit Hackern verhandeln? Wahrscheinlich