Протоколи децентралізованих фінансів (DeFi) проходять стрес-тест після виявлення критичної вразливості у версіях мови програмування Vyper, що призвело до крадіжки криптовалют на мільйони доларів 30 липня.
Кілька пулів, які використовують Vyper 0.2.15, 0.2.16 і 0.3.0, були використані через несправне блокування повторного входу, націлене на щонайменше чотири пули ліквідності на протоколі Curve Finance. «Коротка відповідь полягає в тому, що все, що можна було злити, було злито. Цільовими пулами є aETH/ETH, msETH/ETH, pETH/ETH і CRV/ETH. Усі решта пулів безпечні та на них не впливає помилка», — повідомили в Curve Finance. Розбрат.
BlockSec, аудиторська фірма для смарт-контрактів, зазначила, що повторне входження потенційно може поставити всі пули з обернутим ефіром (WETH) під загрозу атаки.
Please note that this reentrancy issue is associated with the use of 'use_eth', which could potentially place the WETH-related pools in jeopardy! @CurveFinance , please DM us if you need any help. https://t.co/vjc1RRce7w pic.twitter.com/Wz8DXJZK7Y
— BlockSec (@BlockSecTeam) July 30, 2023
Vyper — це контрактна мова програмування, розроблена для віртуальної машини Ethereum (EVM). Вона вважається однією з найпоширеніших мов програмування Web3, що означає, що помилка в трьох її версіях може вплинути на кілька інших протоколів DeFi.
Атака зачіпає низку децентралізованих фінансових проектів: alETH-ETH Alchemix повідомляє про відтік на 13,6 мільйона доларів, пул pETH-ETH PEGd виснажено на 11,4 мільйона доларів, пул sETH-ETH Metronome зламано на 1,6 мільйона доларів і понад 32 мільйони в Curve DAO (CRV). протягом останніх кількох годин було злито токенів на суму понад 22 мільйони доларів. Децентралізована біржа Ellipsis також повідомила, що невелика кількість стабільних пулів з BNB використовувалася за допомогою старого компілятора Vyper.
crv/eth pool drained minutes before a whitehack operation :(https://t.co/rhALBzkTEi
— banteg (@bantg) July 30, 2023
Інцидент також негативно вплинув на ціну CRV, яка на момент написання статті впала більш ніж на 12% і становила 0,64 долара. Члени спільноти також відзначили потенційний вплив хвилі на протокол Aave, оскільки падіння ціни на CRV може змусити засновника Curve Майкла Єгорова ліквідувати позицію запозичення на 70 мільйонів доларів на Aave.
