Atualização (30 de julho, às 19h55 UTC): Este artigo foi atualizado para fornecer mais detalhes sobre o exploit
Vários pools estáveis no Curve Finance usando Vyper foram explorados em 30 de julho, com perdas chegando a mais de US$ 47 milhões. De acordo com Vyper, suas versões 0.2.15, 0.2.16 e 0.3.0 são vulneráveis a bloqueios de reentrância com defeito.
“A investigação está em andamento, mas qualquer projeto que dependa dessas versões deve entrar em contato conosco imediatamente”, Vyper escreveu em X. Com base em uma análise de afetado contratos da empresa de segurança Ancilia, 136 contratos usaram Vyper 0.2.15 com proteção reentrante, 98 contratos usaram Vyper 0.2.16 e 226 contratos usaram Vyper 0.3.0.
Um número de stablepools (alETH/msETH/pETH) usando Vyper 0.2.15 foi explorado como resultado de um bloqueio de reentrância com defeito. Estamos avaliando a situação e atualizaremos a comunidade à medida que as coisas se desenvolverem.
Outras piscinas são seguras. https://t.co/eWy2d3cDDj
— Curve Finance (@CurveFinance) 30 de julho de 2023
De acordo com a investigação inicial, algumas versões do compilador Vyper não implementam corretamente a proteção de reentrância, o que impede que várias funções sejam executadas ao mesmo tempo, bloqueando um contrato. Os ataques de reentrância podem drenar todos os fundos de um contrato.
Vyper é uma linguagem de programação Python orientada a contratos que tem como alvo a Ethereum Virtual Machine (EVM). As semelhanças do Vyper com o Python tornam a linguagem um dos pontos de partida para os desenvolvedores Python entrarem na Web3.
Vários projetos financeiros descentralizados foram afetados pelo ataque. Reticências de troca descentralizada relatado que um pequeno número de pools estáveis com BNB foram explorados usando um antigo compilador Vyper. O alETH-ETH da Alchemix também testemunhou uma saída de US$ 13,6 milhões, juntamente com US$ 11,4 milhões explorados no pool pETH-ETH da JPEGd e US$ 1,6 milhão no pool sETH-ETH da Metronome. O CEO da Curving Finance, Michael Egorov, confirmou posteriormente que 32 milhões de tokens CRV no valor de mais de US$ 22 milhões foram drenados do pool de swap em um canal do Telegram.
Certo tipo de pool de fábrica da Curve está enfrentando um ataque de reentrada somente leitura e causando uma perda total de US$ 11 milhões (@JPEGd_69) + $ 13 milhões (@AlchemixFi) + …
A investigação inicial descobriu que o compilador vyper (0.2.15) não implementa a proteção de reentrância corretamente.
add_liquidez e… pic.twitter.com/avaHdtSFsm
— Tony KΞ (@tonyke_bot) 30 de julho de 2023
A exploração gerou pânico em todo o ecossistema DeFi, gerando uma onda de transações em pools e um resgatar operação de chapéus brancos. Dados do CoinMarketCap mostram que o token utilitário Curve DAO (CRV) da Curve Finance caiu mais de 5% em reação às notícias. A liquidez do CRV diminuiu significativamente nos últimos meses, tornando-o vulnerável a violentas oscilações de preços, informou o Cointelegraph. De acordo com a Curve Finance, os contratos de crvUSD e quaisquer pools com ele não foram afetados pelo ataque.
Curve Finance é um protocolo DeFi que permite a troca descentralizada (DEX) de stablecoins dentro da Ethereum. O protocolo foi alvo de uma série de incidentes em seu ecossistema. Apenas alguns dias atrás, sua plataforma omnipool Conic Finance foi explorada por US$ 3,26 milhões em Ether (ETH), com quase todo o valor roubado enviado para um novo endereço Ethereum em apenas uma transação.
Os protocolos DeFi foram alvo de vários ataques nos últimos meses. De acordo com um relatório do De.Fi, aplicativo de portfólio da Web3, mais de US$ 204 milhões foram roubados por meio de hacks e golpes DeFi apenas no segundo trimestre de 2023.
Revista: Projetos criptográficos devem negociar com hackers? Provavelmente
source – cointelegraph.com
