Токены Curve DAO пострадали от взлома в преддверии заявки на спасение в белой шляпе
Curve DAO столкнулась со значительной неудачей, поскольку миллионы токенов CRV были украдены всего за несколько мгновений до спасательной операции в белых шляпах, направленной на обеспечение безопасности средств, о чем свидетельствуют данные блокчейна и участник Curve Бантег.
Согласно отчету, во время эксплойта было потеряно около 7 миллионов токенов CRV и обернутого эфира (WETH) на сумму 14 миллионов долларов. Нарушение произошло в пуле CRV/ETH на Curve Finance, известной децентрализованной бирже (DEX), известной своими оптимизированными возможностями торговли стейблкоинами.
Платформа имеет разнообразный набор пулов, которые облегчают торговлю между различными токенами, в первую очередь ориентируясь на стабильные монеты, а также размещая другие цифровые активы.
Curve DAO сталкивается с уязвимостью, затрагивающей несколько пулов
Curve DAO столкнулся с критической уязвимостью, которая имеет последствия для различных пулов и связана с ошибкой, обнаруженной в более ранних версиях языка программирования Vyper.
«Пул crv/eth опустел за несколько минут до операции белого взлома», — написал Бантег в Твиттере, проливая свет на прискорбный инцидент.
Пул crv/eth был слит за несколько минут до операции по уайтхаку :(https://t.co/rhALBzkTEi
— бантег (@bantg) 30 июля 2023 г.
Ситуация с Curve DAO привлекла внимание аналитиков по безопасности: BlockSec сообщила, что известная криптовалютная биржа Binance финансировала кошелек, использованный для атаки. Это открытие вызвало обеспокоенность по поводу потенциальных рисков, скрывающихся в экосистеме DeFi.
В ответ на эту проблему Vyper определила конкретные версии, склонные к сбоям в работе блокировок повторного входа: 0.2.15, 0.2.16 и 0.3.0. Проектам, использующим эти уязвимые версии, настоятельно рекомендуется срочно связаться с Vyper для получения дополнительной помощи.
PSA: версии Vyper 0.2.15, 0.2.16 и 0.3.0 уязвимы для сбоев в работе блокировок повторного входа. Расследование продолжается, но любой проект, опирающийся на эти версии, должен немедленно связаться с нами.
— Вайпер (@vyperlang) 30 июля 2023 г.
Кривая DAO Breach: обнаружение недостатка
По мере того, как охранная фирма Ancilia углубляется в ситуацию, раскрывается весь масштаб уязвимости. Согласно их анализу, многие контракты были подвержены потенциальным рискам.
В частности, 136 контрактов основывались на Vyper 0.2.15 с защитой от повторного входа, 98 контрактов были созданы с использованием Vyper 0.2.16 и 226 контрактов использовали Vyper 0.3.0.
Мы сделали быстрый запуск на github.
Найдено 136 контрактов, скомпилированных с помощью vyper 0.2.15 и использующих защиту от повторного входа;
98 контрактов найдено с версией 0.2.16
226 контрактов найдено с версией 0.3.0
— Ancilia, Inc. (@AnciliaInc) 30 июля 2023 г.
По мере продвижения расследования основная причина уязвимости была раскрыта, что пролило свет на степень риска. Было обнаружено, что определенные версии компилятора Vyper нуждаются в надлежащей реализации защиты от повторного входа.
Эта важная оплошность позволяет одновременно выполнять несколько функций в обход предполагаемого механизма блокировки в затронутых контрактах. В результате злоумышленники могут проводить повторные атаки, способные вывести все средства из уязвимых контрактов.
Между тем, цена Curve DAO (CRV) находится в красном цвете на всех таймфреймах, потеряв почти 13% за последние 24 часа. По данным Coingecko, за последнюю неделю токен потерял 14% своей стоимости.
Избранное изображение от Билла Хинтона / Getty Images