Кілька стабільних пулів на Curve Finance з використанням Vyper були використані 30 липня, а збитки досягли 24 мільйонів доларів на момент написання статті. Відповідно до Vyper, його версії 0.2.15, 0.2.16 і 0.3.0 вразливі до несправних блокувань повторного входу.
«Розслідування триває, але будь-який проект, який спирається на ці версії, повинен негайно звернутися до нас», — написав Vyper на X.
We're running a large white hat rescue operation. Please reach out if you think you're affected as a project. https://t.co/tssWcRHg35
— sudo rm -rf –no-preserve-root/(@pcaversaccio) July 30, 2023
Згідно з початковим дослідженням, деякі версії компілятора Vyper неправильно реалізують захист від повторного входу, який запобігає одночасному виконанню кількох функцій шляхом блокування контракту. Атаки повторного входу потенційно можуть вичерпати всі кошти з контракту.
Від атаки постраждала низка децентралізованих фінансових проектів. Децентралізована біржа Ellipsis повідомила, що невелика кількість стабільних пулів з BNB використовувалася за допомогою старого компілятора Vyper. Alchemix також став свідком відтоку 13,6 мільйонів доларів, а також 11,4 мільйона доларів, використаних на JPEGd.
Curve Finance — це протокол DeFi, який забезпечує децентралізований обмін (DEX) стейблкойнами в Ethereum.
Це історія, що розвивається, і подальша інформація буде додана, коли вона стане доступною.
