Vários pools de liquidez da Curve Finance foram atacados em 30 de julho devido a uma vulnerabilidade encontrada na linguagem de programação Vyper. Vyper é uma linguagem de programação de contrato criada para a Ethereum Virtual Machine (EVM).
O Curve Finance é um dos principais protocolos de finanças descentralizadas (DeFi) devido aos seus principais serviços de liquidez, e a vulnerabilidade do código colocou em risco quase US$ 100 milhões em ativos digitais.
A vulnerabilidade foi encontrada na versão 0.2.15, 0.2.16 e 0.3.0, levando a um bloqueio de reentrância com defeito. Como resultado, milhões foram drenados de quatro pools da Curve, ou seja, aETH/ETH, msETH/ETH, pETH/ETH e CRV/ETH. A falha em três de suas variantes pode afetar vários outros protocolos.
Observe que esse problema de reentrância está associado ao uso de ‘use_eth’, o que pode colocar em risco os pools relacionados ao WETH! @CurveFinance por favor DM-nos se você precisar de alguma ajuda. pic.twitter.com/Wz8DXJZK7Y
— BlockSec (@BlockSecTeam) 30 de julho de 2023
O preço do token nativo da Curve Finance (CRV) caiu no mercado DeFi devido à significativa drenagem de vários pools; no entanto, acabou sendo salvo pelo feed de preço de câmbio centralizado. O preço do CRV atingiu US$ 0,086 nas exchanges descentralizadas, mas foi negociado a US$ 0,60 nas exchanges centralizadas (CEXs), evitando que o preço do token caísse para zero.
Relacionado: Advogado pró-XRP afirma que a SEC prioriza o capitalismo corporativo sobre os investidores
Os pools de curvas usam o sistema oracle da Chainlink que incorpora vários feeds de preços, incluindo trocas centralizadas. Se não fosse pelo feed de preços CEX, a Curve Finance teria entrado em colapso. Esse incidente irônico chamou a atenção do CEO da Binance, Changpeng Zhao, que riu do fato de que, no final, foi um feed de preço CEX que salvou o protocolo DeFi.
Zhao observou que a vulnerabilidade do Vyper não afetou a Binance, pois a exchange cripto atualizou o código para a versão mais recente. Ele também lembrou a todos da importância das atualizações da biblioteca de códigos.
O feed de preços CEX economiza DeFi. ♂️
Os usuários da Binance não são afetados. Nossa equipe verificou a vulnerabilidade reentrante do Vyper. Usamos apenas a versão 0.3.7 ou superior.
É importante manter-se atualizado com bibliotecas de código, aplicativos e sistema operacional. E ficar #SAFU https://t.co/0GFv86KP9R
— CZ Binance (@cz_binance) 31 de julho de 2023
Acredita-se que o bug nas versões anteriores do código Vyper tenha pelo menos 1,5 anos, e acredita-se que o explorador tenha cavado fundo no histórico de lançamento para encontrar um problema explorável para um grande protocolo com milhões de dólares em jogo. Um colaborador do programa Vyper no X (Twitter) sugerido a quantidade de tempo e recursos investidos na exploração indica que pode ser um ataque patrocinado pelo estado.
Colete este artigo como um NFT para preservar este momento da história e mostrar seu apoio ao jornalismo independente no espaço criptográfico.
Revista: Os projetos de criptografia devem negociar com hackers? Provavelmente
source – cointelegraph.com
