Несколько стабильных пулов Curve Finance с использованием Vyper были взломаны 30 июля, и на момент написания статьи убытки достигли 24 миллионов долларов. Согласно Vyper, его версии 0.2.15, 0.2.16 и 0.3.0 уязвимы для сбоев в работе блокировок повторного входа.
«Расследование продолжается, но любой проект, опирающийся на эти версии, должен немедленно связаться с нами», — написал Vyper на X.
We're running a large white hat rescue operation. Please reach out if you think you're affected as a project. https://t.co/tssWcRHg35
— sudo rm -rf –no-preserve-root/(@pcaversaccio) July 30, 2023
Согласно первоначальному расследованию, некоторые версии компилятора Vyper неправильно реализуют защиту от повторного входа, которая предотвращает одновременное выполнение нескольких функций за счет блокировки контракта. Атаки с повторным входом потенциально могут вывести все средства из контракта.
Атаке подвергся ряд децентрализованных финансовых проектов. Децентрализованная биржа Ellipsis сообщила, что небольшое количество стабильных пулов с BNB было взломано с использованием старого компилятора Vyper. Alchemix также стал свидетелем оттока 13,6 млн долларов, а также 11,4 млн долларов, использованных для JPEGd.
Curve Finance — это протокол DeFi, который обеспечивает децентрализованный обмен (DEX) стейблкоинов в Ethereum.
Это развивающаяся история, и дополнительная информация будет добавляться по мере ее появления.
