Несколько пулов ликвидности Curve Finance подверглись атаке 30 июля из-за уязвимости, обнаруженной в языке программирования Vyper. Vyper — это контрактный язык программирования, созданный для виртуальной машины Ethereum (EVM).
Curve Finance является одним из ключевых протоколов децентрализованного финансирования (DeFi) из-за ключевых услуг ликвидности, которые он предлагает, поэтому уязвимость кода поставила под угрозу цифровые активы на сумму почти 100 миллионов долларов.
Уязвимость была обнаружена в версиях 0.2.15, 0.2.16 и 0.3.0, что приводило к сбоям в работе блокировки повторного входа. В результате миллионы были удалены из четырех пулов Curve, а именно aETH/ETH, msETH/ETH, pETH/ETH и CRV/ETH. Недостаток в трех его вариантах может повлиять на ряд других протоколов.
Please note that this reentrancy issue is associated with the use of 'use_eth', which could potentially place the WETH-related pools in jeopardy! @CurveFinance , please DM us if you need any help. https://t.co/vjc1RRce7w pic.twitter.com/Wz8DXJZK7Y
— BlockSec (@BlockSecTeam) July 30, 2023
Цена собственного токена Curve Finance (CRV) рухнула на рынке DeFi из-за значительного истощения нескольких его пулов, однако в конечном итоге ее спасла централизованная биржевая подача цен. Цена CRV достигла 0,086 доллара на децентрализованных биржах (DEX), но торговалась на уровне 0,60 доллара на централизованных биржах (CEX), что спасло цену нативного токена от падения до нуля.
Связанный: Юрист Pro-XRP утверждает, что SEC отдает приоритет корпоративному капитализму над инвесторами
Пулы Curve используют систему оракулов Chainlink, которая включает в себя несколько ценовых каналов, включая централизованные биржи. Если бы не ценовой поток CEX, Curve Finance рухнул бы. Этот ироничный инцидент привлек внимание генерального директора Binance Чанпэна Чжао, который посмеялся над тем фактом, что, в конце концов, ценовая лента Cex спасла экосистему DeFi.
Чжо отметил, что Binane не пострадала от уязвимости Vyper, поскольку биржа криптовалют обновила код до последней версии и напомнила всем о важности обновления кода Libraries.
CEX price feed saves DeFi. ♂️
Binance users are not affected. Our team checked on the Vyper Reentrant Vulnerability. We only use version 0.3.7 or above.
It's important to stay up-to-date with code Libraries, apps and OS. And stay #SAFU https://t.co/0GFv86KP9R
— CZ Binance (@cz_binance) July 31, 2023
Считается, что ошибке в более ранних версиях кода Vyper не менее 1,5 лет, и считается, что эксплуататор *глубоко* копался в истории выпусков, чтобы найти эксплуатируемую проблему для большого протокола, на кону которого стоят многие миллионы. Участник программы Vyper в Твиттере предполагает, что количество времени и ресурсов, затраченных на эксплойт, указывает на то, что это может быть атака, спонсируемая государством.
Соберите эту статью как NFT, чтобы сохранить этот момент в истории и показать свою поддержку независимой журналистики в криптовалютном пространстве.
