Curve DAO столкнулась со значительной неудачей, поскольку миллионы токенов CRV были украдены всего за несколько мгновений до спасательной операции white hat, направленной на обеспечение сохранности средств, как показали данные blockchain и участник Curve Banteg.
Согласно отчету, во время эксплойта было потеряно около 7 миллионов токенов CRV и обернутый эфир (WETH) на сумму 14 миллионов долларов. Нарушение произошло в пуле CRV / ETH на Curve Finance, известной децентрализованной бирже (DEX), известной своими оптимизированными возможностями торговли стабильными монетами.
Платформа включает в себя широкий спектр пулов, которые облегчают торговлю между различными токенами, в первую очередь ориентируясь на стабильные монеты, в то же время размещая другие цифровые активы.
Curve DAO сталкивается с уязвимостью, влияющей на несколько пулов
Curve DAO был поражен критической уязвимостью, которая имеет последствия для различных пулов, вызванной ошибкой, обнаруженной в более ранних версиях языка программирования Vyper.
“пул crv / eth истощился за несколько минут до операции по взлому ”белых»», — написал Бантег в Twitter, проливая свет на прискорбный инцидент.
пул crv/eth был опустошен за несколько минут до операции whitehack :(https://t.co/rhALBzkTEi
— бантег (@bantg) 30 июля 2023 года
Ситуация с Curve DAO привлекла внимание аналитиков безопасности, поскольку BlockSec сообщила, что известная криптовалютная биржа Binance финансировала кошелек, использованный в атаке. Это открытие вызвало обеспокоенность по поводу потенциальных рисков, таящихся в экосистеме DeFi.
Vyper, в ответ на проблему, определил конкретные версии, подверженные ошибочным блокировкам повторного входа — 0.2.15, 0.2.16 и 0.3.0. Проектам, использующим эти уязвимые версии, настоятельно рекомендуется срочно связаться с Vyper для получения дополнительной помощи.
PSA: Версии Vyper 0.2.15, 0.2.16 и 0.3.0 уязвимы для неисправных блокировок повторного входа. Расследование продолжается, но любой проект, основанный на этих версиях, должен немедленно связаться с нами.
— Вайпер (@vyperlang) 30 июля 2023
Нарушение Curve DAO: Раскрытие недостатка
По мере того как охранная фирма Ancilia углубляется в ситуацию, выявляется весь масштаб уязвимости. Согласно их анализу, многие контракты были подвержены потенциальным рискам.
В частности, 136 контрактов основывались на Vyper 0.2.15 с защитой от повторного входа, 98 контрактов были созданы с использованием Vyper 0.2.16, а 226 контрактов использовали Vyper 0.3.0.
Мы быстро пробежались по github.
Найдено 136 контрактов, скомпилированных с помощью vyper 0.2.15 и использующих защиту от повторного входа;
найдено 98 контрактов с версией 0.2.16
найдено 226 контрактов с версией 0.3.0— Ancilia, Inc. (@AnciliaInc) 30 июля 2023
По мере продвижения расследования была выявлена первопричина уязвимости, проливающая свет на степень риска. Было обнаружено, что определенные версии компилятора Vyper нуждаются в надлежащей реализации защиты от повторного входа.
Рыночная капитализация криптовалют сегодня достигла $1,148 трлн на дневном графике: TradingView.com
Этот критический недосмотр позволяет одновременно выполнять множество функций, минуя предполагаемый механизм блокировки в затронутых контрактах. В результате злоумышленники могут начать повторные атаки, способные вывести все средства из уязвимых контрактов.
Источник: Coingecko
Между тем, цена Curve DAO (CRV) находится в минусе на всех таймфреймах, потеряв почти 13% за последние 24 часа. По данным трекера крипторынка Coingecko, за последнюю неделю токен потерял 14% своей стоимости.
