Mocny cios dla ekosystemu finansów zdecentralizowanych (ang. DeFi), ze szczególnym uwzględnieniem projektu Curve Finance. Protokoły padły ofiarą luki w zabezpieczeniach, która spowodowała straty przekraczające 47 milionów dolarów. Exploit, który miał miejsce dziś wieczorem, według wstępnych ustaleń miał miejsce w wyniku luki reentrancy obecnej w niektórych wersjach języka programowania Vyper, wykorzystywanego w budowaniu smart kontraktów na blockchainie Ethereum.
🚨Withdraw all funds from Curve, no matter the pool, better safe than sorry https://t.co/vXfWUrbGpo
— olimpio (@OlimpioCrypto) July 30, 2023Curve Finance główną ofiarą ataku na ekosystem DeFi
Podstawowy mechanizm exploita opierał się na luce reentrancy która znajdowała się w wersjach Vyper 0.2.15, 0.2.16 i 0.3.0. Luka ta pozwalała atakującym na wielokrotne wywoływanie tej samej funkcji przed zakończeniem jej wykonywania, umożliwiając im manipulowanie stanem kontraktu i potencjalne pobieranie z niego środków. Luka ta pozostała dotychczas niezauważona aż do momentu w którym została bezwzględnie wykorzystana, powodując znaczne straty finansowe dla Curve Finance i użytkowników innych protokołów DeFi zbudowanych na języku Vyper.
A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.
Other pools are safe. https://t.co/eWy2d3cDDj
Wśród kolejnych celów ataku znalazły się Ellipsis, zdecentralizowana giełda kryptowalut, oraz Alchemix; oba projekty doświadczyły znacznego odpływu funduszy. Ellipsis zgłosiło wykorzystanie przez hakerów niektórych pul płynności które wykorzystywały przestarzały kompilator Vyper.
Certain type of Curve factory pool is encountering read-only reentrancy attack and causing a total loss of $11m(@JPEGd_69) + $13m(@AlchemixFi) + …
Initial investigation founds that vyper compiler (0.2.15) doesn't implement the reentrancy guard correctly.
add_liquidity and… pic.twitter.com/avaHdtSFsm
Najpoważniejszego wypływu doświadczyło samo Curve Finance, z liczbą 32 milionów tokenów CRV o wartości ponad 22 milionów dolarów, które zostały usunięte z puli swapów.
Ataki na DeFi to, niestety, nic nowego
W następstwie exploita rozpoczęto szeroko zakrojone dochodzenie w celu przeanalizowania dotkniętych nim kontraktów i określenie pełnego zakresu konsekwencji dotychczasowego ataku. Firma cyberbezpieczeństwa Ancilia odegrała kluczową rolę w identyfikacji wrażliwych kontraktów i zapewnieniu cennego wglądu w to, jak atak przebiegał.
Dzięki „hakerom w białych kapeluszach”, czyli wolontariuszy-specjalistów działających dla dobra wspólnego, udało się w pewnym zakresie załagodzić szkody. Incydent pozostawi jednak prawdopodobnie trwały ślad na zaufaniu inwestorów do projektów DeFi. Ile pozostało luk w zabezpieczeniach o których nie wiemy?
Wiadomość o exploicie wywołała falę wstrząsów w całym sektorze kryptowalut, wywołując lawinę transakcji w rozmaitych pulach płynności i doprowadzając do gwałtownej deprecjacji wartości tokena użytkowego Curve Finance o tickerze $CRV. Na moment powstawania tego tekstu cena spada między 10-15% przy wyraźnie rosnącym wolumenie transakcyjnym.
Źródło: CMCJest to dobry moment na przypomnienie wyzwań w zakresie zabezpieczeń przed jakimi stoi ekosystem DeFi. Protokoły te nadzwyczaj często zarządzają znacznym kapitałem, co czyni je łakomym kąskiem dla mających złe intencje podmiotów które posiadają dostateczną wiedzę i umiejętności aby wypróbowywać na nich różne wektory ataku. Ostatecznie nagroda najczęściej jest bowiem warta wszelkich wcześniejszych prób.
