Несколько стабильных пулов на Curve Finance, использующих Vyper, подверглись 30 июля атаке, потери от которой на момент написания статьи достигли 24 млн. долл. По данным компании Vyper, ее версии 0.2.15, 0.2.16 и 0.3.0 уязвимы к сбоям в работе блокировок реентерабельности.
"Расследование продолжается, но все проекты, полагающиеся на эти версии, должны немедленно связаться с нами", - написала компания Vyper на сайте X.
Мы проводили крупную операцию по спасению "белых шляп". Пожалуйста, свяжитесь с нами, если вы считаете себя затронутым проектом. https://t.co/tssWcRHg35
- sudo rm -rf --no-preserve-root / (@pcaversaccio) 30 июля 2023 г.
Согласно первоначальному исследованию, в некоторых версиях компилятора Vyper некорректно реализована защита от реентерабельности, которая предотвращает одновременное выполнение нескольких функций путем блокировки контракта. Атаки на реентерабельность могут привести к вымыванию всех средств из контракта.
В результате атаки пострадал ряд проектов децентрализованного финансирования. Децентрализованная биржа Ellipsis сообщила, что небольшое количество стабильных пулов с BNB подверглось эксплуатации с использованием старого компилятора Vyper. На Alchemix также наблюдался отток 13,6 млн. долларов, а также 11,4 млн. долларов, эксплуатировавшихся на JPEGd`s.
Curve Finance - это протокол DeFi, обеспечивающий децентрализованный обмен (DEX) стейблкоинов в рамках Ethereum.
Источник
