Пули Curve Finance використано на понад 24 мільйони доларів через вразливість повторного входу

Кілька стабільних пулів на Curve Finance з використанням Vyper були використані 30 липня, а збитки досягли 24 мільйонів доларів на момент написання статті. Відповідно до Vyper, його версії 0.2.15, 0.2.16 і 0.3.0 вразливі до несправних блокувань повторного входу.

«Розслідування триває, але будь-який проект, який спирається на ці версії, повинен негайно звернутися до нас», — написав Vyper на X.

We're running a large white hat rescue operation. Please reach out if you think you're affected as a project. https://t.co/tssWcRHg35

— sudo rm -rf –no-preserve-root/(@pcaversaccio) July 30, 2023

Згідно з початковим дослідженням, деякі версії компілятора Vyper неправильно реалізують захист від повторного входу, який запобігає одночасному виконанню кількох функцій шляхом блокування контракту. Атаки повторного входу потенційно можуть вичерпати всі кошти з контракту.

Від атаки постраждала низка децентралізованих фінансових проектів. Децентралізована біржа Ellipsis повідомила, що невелика кількість стабільних пулів з BNB використовувалася за допомогою старого компілятора Vyper. Alchemix також став свідком відтоку 13,6 мільйонів доларів, а також 11,4 мільйона доларів, використаних на JPEGd.

Curve Finance — це протокол DeFi, який забезпечує децентралізований обмін (DEX) стейблкойнами в Ethereum.

Це історія, що розвивається, і подальша інформація буде додана, коли вона стане доступною.