Несколько пулов ликвидности Curve Finance подверглись 30 июля атаке, связанной с уязвимостью, обнаруженной в языке программирования Vyper. Vyper - это язык программирования контрактов, созданный для виртуальной машины Ethereum (EVM).
Curve Finance является одним из ключевых децентрализованных финансовых протоколов (DeFi) благодаря предлагаемым им ключевым услугам ликвидности, поэтому уязвимость в коде поставила под угрозу цифровые активы на сумму около 100 млн. долл.
Уязвимость обнаружена в версиях 0.2.15, 0.2.16 и 0.3.0, приводящая к нарушению работы блокировки реентерабельности. В результате из четырех пулов Curve, а именно aETH/ETH, msETH/ETH, pETH/ETH и CRV/ETH, были выведены миллионы. Дефект в трех его вариантах может повлиять на ряд других протоколов.
Обратите внимание, что данная проблема реентерабельности связана с использованием use_eth, что потенциально может поставить под угрозу пулы, связанные с WETH! @CurveFinance , пожалуйста, свяжитесь с нами по DM, если вам нужна помощь. https://t.co/vjc1RRce7w pic.Twitter.com/Wz8DXJZK7Y
- BlockSec (@BlockSecTeam) 30 июля 2023 г.
Цена нативного токена Curve Finance (CRV) рухнула на рынке DeFi из-за значительного слива нескольких его пулов, однако в итоге ее спасла централизованная биржевая лента цен. Цена CRV достигла отметки 0,086 долл. на децентрализованных биржах (DEX), но на централизованных биржах (Cex) торговалась на уровне 0,60 долл., что спасло цену нативного токена от обвала до нуля.
Пулы Curve используют систему Chainlink`s oracle, которая включает в себя несколько ценовых каналов, в том числе и централизованные биржи. Если бы не CEX, то Curve Finance потерпела бы крах. Этот ироничный инцидент привлек внимание и генерального директора Binance Чангпенга Чжао, который посмеялся над тем, что в конечном итоге именно ценовой фид Cex спас экосистему DeFi.
Чжо отметил, что уязвимость Vyperability не затронула Binane, поскольку криптовалютная биржа обновила код до последней версии, и напомнил всем о важности обновления библиотек кода.
Ценовая лента CEX спасает DeFi. ♂️
- CZ Binance (@cz_binance) 31 июля 2023 г.
Пользователи Binance не затронуты. Наша команда провела проверку на наличие реентерабельной уязвимости Vyper. Мы используем только версию 0.3.7 или выше.
Важно постоянно обновлять библиотеки кода, приложения и ОС. И оставайтесь #SAFU https://t.co/0GFv86KP9R
Предполагается, что ошибка в ранних версиях кода Vyper существует не менее 1,5 лет, и эксплойтер, как полагают, копал *глубоко* в истории релизов, чтобы найти уязвимость для крупного протокола с многомиллионной ставкой. Один из участников программы Vyper в Twitter высказал предположение, что количество времени и ресурсов, вложенных в эксплойт, указывает на то, что это может быть атака, спонсируемая государством.
Соберите эту статью в качестве NFT, чтобы сохранить этот момент истории и продемонстрировать свою поддержку независимой журналистике в криптопространстве.
Журнал: Стоит ли криптопроектам вообще вести переговоры с хакерами? Вероятно,
Источник