Mehrere Liquiditätspools von Curve Finance wurden am 30. Juli aufgrund einer Schwachstelle in der Programmiersprache Vyper angegriffen. Vyper ist eine Vertragsprogrammiersprache, die für die Ethereum Virtual Machine (EVM) entwickelt wurde.
Curve Finance ist aufgrund seiner wichtigsten Liquiditätsdienste eines der wichtigsten dezentralen Finanzprotokolle (DeFi), und die Code-Schwachstelle hat digitale Vermögenswerte im Wert von fast 100 Millionen US-Dollar gefährdet.
Die Schwachstelle wurde in den Versionen 0.2.15, 0.2.16 und 0.3.0 gefunden und führte zu einer fehlerhaften Wiedereintrittssperre. Infolgedessen wurden Millionen aus vier Curve-Pools abgezogen, nämlich aETH/ETH, msETH/ETH, pETH/ETH und CRV/ETH. Der Fehler in drei seiner Varianten könnte Auswirkungen auf eine Reihe anderer Protokolle haben.
Bitte beachten Sie, dass dieses Wiedereintrittsproblem mit der Verwendung von „use_eth“ zusammenhängt, was möglicherweise die WETH-bezogenen Pools gefährden könnte! @CurveFinance Bitte schreiben Sie uns eine DM, wenn Sie Hilfe benötigen. https://t.co/vjc1RRce7w pic.twitter.com/Wz8DXJZK7Y
— BlockSec (@BlockSecTeam) 30. Juli 2023
Der Preis des nativen Tokens von Curve Finance (CRV) brach auf dem DeFi-Markt aufgrund der erheblichen Entleerung mehrerer Pools ein; Letztendlich wurde es jedoch durch die zentralisierte Börsenpreis-Einspeisung gerettet. Der CRV-Preis erreichte an dezentralen Börsen 0,086 $, wurde aber an zentralisierten Börsen (CEXs) bei 0,60 $ gehandelt, wodurch verhindert wurde, dass der Preis des Tokens auf Null abstürzte.
Verwandt: Pro-XRP-Anwalt behauptet, dass die SEC dem Unternehmenskapitalismus Vorrang vor Investoren einräumt
Curve-Pools nutzen das Oracle-System von Chainlink, das mehrere Preis-Feeds umfasst, einschließlich zentralisierter Börsen. Ohne den CEX-Preis-Feed wäre Curve Finance zusammengebrochen. Dieser ironische Vorfall erregte die Aufmerksamkeit von Changpeng Zhao, CEO von Binance, der darüber lachte, dass es am Ende ein CEX-Preis-Feed war, der das DeFi-Protokoll rettete.
Zhao stellte fest, dass die Vyper-Schwachstelle keine Auswirkungen auf Binance hatte, da die Krypto-Börse den Code auf die neueste Version aktualisiert hat. Er erinnerte auch alle an die Bedeutung von Codebibliothek-Upgrades.
CEX-Preis-Feed spart DeFi. ♂️
Binance-Benutzer sind nicht betroffen. Unser Team hat die Vyper Reentrant-Sicherheitslücke überprüft. Wir verwenden ausschließlich Version 0.3.7 oder höher.
Es ist wichtig, in Bezug auf Codebibliotheken, Apps und Betriebssystem auf dem neuesten Stand zu bleiben. Und bleibe #SAFU https://t.co/0GFv86KP9R
— CZ Binance (@cz_binance) 31. Juli 2023
Man geht davon aus, dass der Fehler in den früheren Versionen des Vyper-Codes mindestens 1,5 Jahre alt ist, und es wird angenommen, dass der Angreifer tief in der Veröffentlichungshistorie gegraben hat, um ein ausnutzbares Problem für ein großes Protokoll zu finden, bei dem es um Millionen von Dollar geht. Ein Mitwirkender des Vyper-Programms auf X (Twitter) empfohlen Der Zeit- und Ressourcenaufwand für den Exploit lässt darauf schließen, dass es sich möglicherweise um einen staatlich geförderten Angriff handelt.
Sammeln Sie diesen Artikel als NFT um diesen Moment in der Geschichte zu bewahren und Ihre Unterstützung für unabhängigen Journalismus im Kryptoraum zu zeigen.
Zeitschrift: Sollten Kryptoprojekte jemals mit Hackern verhandeln? Wahrscheinlich