Поредния DeFi протокол бе хакнат – отмъкнати са $24 милиона
На 30 юли DeFi пространството стана очевидец на поредност от офанзиви, вследствие на които бяха откраднати криптовалути на стойност над $24 милиона.
Нападателите се насочиха към пуловете за ликвидност на Curve, платформа за автоматизиран маркет мейкинг (AMM), като използваха накърнимост, която им разреши да изтеглят средства.
A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.
Other pools are safe. https://t.co/eWy2d3cDDj
— Curve Finance (@CurveFinance) July 30, 2023
Сред засегнатите платформи протоколът за NFT кредитиране, прочут като JPEG’d, претърпя най-значителна загуба, като бяха откраднати криптовалути на стойност почти $11 милиона.
Към момента на случая JPEG’d имаше обща заключена стойност от към $32 милиона. Функционалният токен на платформата, JPEG, означи внезапен спад от 24.6% през този интервал.
Curve не беше единствената цел, защото Alchemix и Metronome DAO също претърпяха обилни загуби, възлизащи надлежно на $13.6 милиона и $1.6 милиона. Интересно е, че MEV бот съумя да забележи транзакцията на нападателите и превантивно извърши сходна транзакция, с цел да изпревари експлойта.
Certain type of Curve factory pool is encountering read-only reentrancy attack and causing a total loss of $11m(@JPEGd_69) + $13m(@AlchemixFi) + …
Initial investigation founds that vyper compiler (0.2.15) doesn't implement the reentrancy guard correctly.
add_liquidity and… pic.twitter.com/avaHdtSFsm
— Tony KΞ (@tonyke_bot) July 30, 2023
Първопричината за уязвимостта беше проследена до Vyper, език за програмиране на трета страна, употребен за смарт контракти на Етериум. Екипът на Vyper призна, че минусът е зародил заради неточност в техния компилатор. Въпреки съществуването на отбрани за наново влизане, които са предопределени да защищават от сходни офанзиви, минусът ги е направил неефективни.
Полагат се старания за справяне с казуса, а разработчиците работят за повишение на сигурността на DeFi протоколите, с цел да се предотвратят сходни произшествия в бъдеще.