Seria ataków na protokoły DeFi! Curve Finance i inne pule w tarapatach, uważajcie na swoje środki!

Mocny cios dla ekosystemu finansów zdecentralizowanych (ang. DeFi), ze szczególnym uwzględnieniem projektu Curve Finance. Protokoły padły ofiarą luki w zabezpieczeniach, która spowodowała straty przekraczające 47 milionów dolarów. Exploit, który miał miejsce dziś wieczorem, według wstępnych ustaleń miał miejsce w wyniku luki reentrancy obecnej w niektórych wersjach języka programowania Vyper, wykorzystywanego w budowaniu smart kontraktów na blockchainie Ethereum.

https://twitter.com/OlimpioCrypto/status/1685737537606672384?s=20

Curve Finance główną ofiarą ataku na ekosystem DeFi

Podstawowy mechanizm exploita opierał się na luce reentrancy która znajdowała się w wersjach Vyper 0.2.15, 0.2.16 i 0.3.0. Luka ta pozwalała atakującym na wielokrotne wywoływanie tej samej funkcji przed zakończeniem jej wykonywania, umożliwiając im manipulowanie stanem kontraktu i potencjalne pobieranie z niego środków. Luka ta pozostała dotychczas niezauważona aż do momentu w którym została bezwzględnie wykorzystana, powodując znaczne straty finansowe dla Curve Finance i użytkowników innych protokołów DeFi zbudowanych na języku Vyper.

A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.

Other pools are safe. https://t.co/eWy2d3cDDj

— Curve Finance (@CurveFinance) July 30, 2023

Wśród kolejnych celów ataku znalazły się Ellipsis, zdecentralizowana giełda kryptowalut, oraz Alchemix; oba projekty doświadczyły znacznego odpływu funduszy. Ellipsis zgłosiło wykorzystanie przez hakerów niektórych pul płynności które wykorzystywały przestarzały kompilator Vyper.

Certain type of Curve factory pool is encountering read-only reentrancy attack and causing a total loss of $11m(@JPEGd_69) + $13m(@AlchemixFi) + …

Initial investigation founds that vyper compiler (0.2.15) doesn't implement the reentrancy guard correctly.

add_liquidity and… pic.twitter.com/avaHdtSFsm

— Tony KΞ (@tonyke_bot) July 30, 2023

Najpoważniejszego wypływu doświadczyło samo Curve Finance, z liczbą 32 milionów tokenów CRV o wartości ponad 22 milionów dolarów, które zostały usunięte z puli swapów.

Zobacz też: „Scena jak z horroru”. Krypto influencer z milionami na koncie znaleziony w walizce

Ataki na DeFi to, niestety, nic nowego

W następstwie exploita rozpoczęto szeroko zakrojone dochodzenie w celu przeanalizowania dotkniętych nim kontraktów i określenie pełnego zakresu konsekwencji dotychczasowego ataku. Firma cyberbezpieczeństwa Ancilia odegrała kluczową rolę w identyfikacji wrażliwych kontraktów i zapewnieniu cennego wglądu w to, jak atak przebiegał.

Dzięki „hakerom w białych kapeluszach”, czyli wolontariuszy-specjalistów działających dla dobra wspólnego, udało się w pewnym zakresie załagodzić szkody. Incydent pozostawi jednak prawdopodobnie trwały ślad na zaufaniu inwestorów do projektów DeFi. Ile jest jeszcze luk w zabezpieczeniach o których nie wiemy?

Wiadomość o exploicie wywołała falę wstrząsów w całym sektorze kryptowalut, wywołując lawinę transakcji w rozmaitych pulach płynności i doprowadzając do gwałtownej deprecjacji wartości tokena użytkowego Curve Finance o tickerze $CRV. Na moment powstawania tego tekstu cena spada między 10-15% przy wyraźnie rosnącym wolumenie transakcyjnym.

Jest to dobry moment na przypomnienie wyzwań w zakresie zabezpieczeń przed jakimi stoi ekosystem DeFi. Protokoły te nadzwyczaj często zarządzają znacznym kapitałem, co czyni je łakomym kąskiem dla mających złe intencje podmiotów które posiadają dostateczną wiedzę i umiejętności aby wypróbowywać na nich różne wektory ataku. Ostatecznie nagroda najczęściej jest bowiem warta wszelkich wcześniejszych prób.

Może Cię zainteresować:

Blockchain Coinbase już działa. Sprytny anon zarobił na nim 800 tys. dolarów w zaledwie 18 godzin