Уязвимость Vper подвергает экосистему DeFi стресс-тестам

Протоколы децентрализованных финансов (DeFi) проходят стресс-тест после того, как в версиях языка программирования Vyper была обнаружена критическая уязвимость, которая привела к краже криптовалют на миллионы долларов 30 июля.

Ряд пулов, использующих Vyper 0.2.15, 0.2.16 и 0.3.0, были взломаны из-за неисправной блокировки повторного входа, нацеленной как минимум на четыре пула ликвидности на протоколе Curve Finance. «Короткий ответ заключается в том, что все, что можно было слить, было слито. Целевые пулы — это aETH/ETH, msETH/ETH, pETH/ETH и CRV/ETH. Все оставшиеся пулы безопасны и не затронуты ошибкой», — сообщила Curve Finance. Раздор.

BlockSec, аудиторская фирма для смарт-контрактов, отметила, что повторный вход потенциально может подвергнуть все пулы с обернутым эфиром (WETH) риску атаки.

Обратите внимание, что эта проблема с повторным входом связана с использованием «use_eth», что потенциально может поставить под угрозу пулы, связанные с WETH! @CurveFinance, пожалуйста, напишите нам, если вам нужна помощь. pic.twitter.com/Wz8DXJZK7Y

— BlockSec (@BlockSecTeam) 30 июля 2023 г.

Vyper — это контрактный язык программирования, разработанный для виртуальной машины Ethereum (EVM). Он считается одним из наиболее широко используемых языков программирования Web3, а это означает, что ошибка в трех его версиях может повлиять на несколько других протоколов.

Атака затронула ряд децентрализованных финансовых проектов: alETH-ETH компании Alchemix сообщил об оттоке средств в размере 13,6 млн долларов, пул pETH-ETH PEGd был истощен на 11,4 млн долларов, пул sETH-ETH Metronome был взломан на 1,6 млн долларов и более 32 млн в Curve DAO (CRV). токены на сумму более 22 миллионов долларов были слиты за последние несколько часов. Децентрализованная биржа Ellipsis также сообщила, что небольшое количество стабильных пулов с BNB было взломано с использованием старого компилятора Vyper.

Пул crv/eth был слит за несколько минут до операции по уайтхаку :(https://t.co/rhALBzkTEi

— бантег (@bantg) 30 июля 2023 г.

Инцидент также негативно повлиял на цену CRV, которая на момент написания статьи упала более чем на 12% и составила 0,64 доллара. Члены сообщества также отметили потенциальный волновой эффект на протокол Aave, поскольку падение цены CRV может вынудить основателя Curve Михаила Егорова ликвидировать кредитную позицию Aave на 70 миллионов долларов.

Magazine: Должны ли криптопроекты вести переговоры с хакерами? Вероятно

Источник: Сointеlеgrаph