Кілька пулів ліквідності Curve Finance зазнали атаки 30 липня через уразливість, знайдену в мові програмування Vyper. Vyper — це контрактна мова програмування, створена для віртуальної машини Ethereum (EVM).
Curve Finance є одним із ключових протоколів децентралізованого фінансування (DeFi) завдяки ключовим послугам ліквідності, які він пропонує, тому вразливість коду поставила під загрозу цифрові активи на суму майже 100 мільйонів доларів.
Уразливість була виявлена у версіях 0.2.15, 0.2.16 і 0.3.0, що призвело до несправності блокування повторного входу. У результаті мільйони були виведені з чотирьох пулів Curve, а саме aETH/ETH, msETH/ETH, pETH/ETH і CRV/ETH. Помилка в трьох його варіантах може вплинути на низку інших протоколів.
Please note that this reentrancy issue is associated with the use of 'use_eth', which could potentially place the WETH-related pools in jeopardy! @CurveFinance , please DM us if you need any help. https://t.co/vjc1RRce7w pic.twitter.com/Wz8DXJZK7Y
— BlockSec (@BlockSecTeam) July 30, 2023
Ціна нативного токена Curve Finance (CRV) впала на ринку DeFi через значне виснаження кількох його пулів, однак зрештою його врятувало централізоване подання цін на біржі. Ціна CRV досягла 0,086 долара на децентралізованих біржах (DEX), але торгувалася на рівні 0,60 долара на централізованих біржах (CEX), таким чином врятувавши ціну нативного токена від падіння до нуля.
За темою: юрист Pro-XRP стверджує, що SEC надає перевагу корпоративному капіталізму над інвесторами
Пули Curve використовують систему oracle від Chainlink, яка містить кілька каналів цін, включаючи централізовані біржі. Якби не ціновий канал CEX, компанія Curve Finance зазнала б краху. Цей іронічний випадок також привернув увагу генерального директора Binance Чанпена Чжао, який посміхнувся тому факту, що врешті-решт екосистему DeFi врятував канал цін Cex.
Жо зазначив, що Binane не постраждав від уразливості Vyper, оскільки біржа криптовалют оновила код до останньої версії, і нагадав усім про важливість оновлення коду Libraries.
CEX price feed saves DeFi. ♂️
Binance users are not affected. Our team checked on the Vyper Reentrant Vulnerability. We only use version 0.3.7 or above.
It's important to stay up-to-date with code Libraries, apps and OS. And stay #SAFU https://t.co/0GFv86KP9R
— CZ Binance (@cz_binance) July 31, 2023
Вважається, що помилка в попередніх версіях коду Vyper виникла щонайменше 1,5 роки тому, імовірно, експлойтер копав *глибоко* в історії випусків, щоб знайти проблему, яка може використовуватися для великого протоколу, на кону якого стоять багато мільйонів. Співавтор програми Vyper у Twitter припускає, що кількість часу та ресурсів, витрачених на експлойт, вказує на те, що це може бути атака, спонсорована державою.
Зберіть цю статтю як NFT, щоб зберегти цей момент в історії та продемонструвати свою підтримку незалежної журналістики у сфері криптовалют.
