Протоколы децентрализованных финансов (DeFi) проходят стресс-тест после обнаружения критической уязвимости в версиях языка программирования Vyper, что привело к краже криптовалют на миллионы долларов 30 июля.

В ряде пулов, использующих Vyper 0.2.15, 0.2.16 и 0.3.0, из-за неисправности блокировки реентерабельности произошла эксплуатация, направленная как минимум на четыре пула ликвидности на протоколе Curve Finance. "Вкратце можно сказать, что все, что можно было слить, было слито. Целевыми пулами являются aETH/ETH, msETH/ETH, pETH/ETH и CRV/ETH. Все остальные пулы находятся в безопасности и не затронуты ошибкой", - говорится в сообщении Curve Finance в Discord.

Компания BlockSec, занимающаяся аудитом смарт-контрактов, отметила, что реентерабельность потенциально может подвергнуть риску атаки все пулы с обернутым Эфиром (WETH).

Обратите внимание, что данная проблема реентерабельности связана с использованием use_eth, что потенциально может поставить под угрозу пулы, связанные с WETH! @CurveFinance , пожалуйста, свяжитесь с нами по DM, если вам нужна помощь. https://t.co/vjc1RRce7w pic.Twitter.com/Wz8DXJZK7Y

- BlockSec (@BlockSecTeam) 30 июля 2023 г.

Vyper - это язык программирования контрактов, разработанный для виртуальной машины Ethereum (EVM). Он считается одним из самых распространенных языков программирования Web3, а значит, ошибка в трех его версиях может повлиять на ряд других протоколов DeFi.

Атака затронула ряд децентрализованных финансовых проектов: Alchemixs alETH-ETH сообщила об оттоке 13,6 млн долларов, пул PEGd pETH-ETH опустел на 11,4 млн долларов, пул Metronome sETH-ETH был взломан на 1,6 млн долларов, а за последние несколько часов было выведено более 32 млн токенов Curve DAO (CRV) на сумму более 22 млн долларов. Децентрализованная биржа Ellipsis также сообщила, что небольшое количество стабильных пулов с BNB подверглось эксплуатации с использованием старого компилятора Vyper.

Бассейн crv/eth осушен за несколько минут до начала операции whitehack :(https://t.co/rhALBzkTEi

- banteg (@bantg) 30 июля 2023 г.

Инцидент также негативно отразился на цене CRV, которая на момент написания статьи снизилась более чем на 12% и составила 0,64 долл. Участники сообщества также отметили потенциальный эффект пульсации на протокол Aaves, поскольку падение цены CRV может заставить основателя Curves Михаила Егорова ликвидировать позицию по займам на Aave в размере 70 млн. долл.

Журнал: Стоит ли криптопроектам вообще вести переговоры с хакерами? Вероятно,

Источник