Mocny cios dla ekosystemu finansów zdecentralizowanych (ang. DeFi), ze szczególnym uwzględnieniem projektu Curve Finance. Protokoły padły ofiarą luki w zabezpieczeniach, która spowodowała straty przekraczające 47 milionów dolarów. Exploit, który miał miejsce dziś wieczorem, według wstępnych ustaleń miał miejsce w wyniku luki reentrancy obecnej w niektórych wersjach języka programowania Vyper, wykorzystywanego w budowaniu smart kontraktów na blockchainie Ethereum.
Curve Finance główną ofiarą ataku na ekosystem DeFi
Podstawowy mechanizm exploita opierał się na luce reentrancy która znajdowała się w wersjach Vyper 0.2.15, 0.2.16 i 0.3.0. Luka ta pozwalała atakującym na wielokrotne wywoływanie tej samej funkcji przed zakończeniem jej wykonywania, umożliwiając im manipulowanie stanem kontraktu i potencjalne pobieranie z niego środków. Luka ta pozostała dotychczas niezauważona aż do momentu w którym została bezwzględnie wykorzystana, powodując znaczne straty finansowe dla Curve Finance i użytkowników innych protokołów DeFi zbudowanych na języku Vyper.
Wśród kolejnych celów ataku znalazły się Ellipsis, zdecentralizowana giełda kryptowalut, oraz Alchemix; oba projekty doświadczyły znacznego odpływu funduszy. Ellipsis zgłosiło wykorzystanie przez hakerów niektórych pul płynności które wykorzystywały przestarzały kompilator Vyper.
Najpoważniejszego wypływu doświadczyło samo Curve Finance, z liczbą 32 milionów tokenów CRV o wartości ponad 22 milionów dolarów, które zostały usunięte z puli swapów.
Ataki na DeFi to, niestety, nic nowego
W następstwie exploita rozpoczęto szeroko zakrojone dochodzenie w celu przeanalizowania dotkniętych nim kontraktów i określenie pełnego zakresu konsekwencji dotychczasowego ataku. Firma cyberbezpieczeństwa Ancilia odegrała kluczową rolę w identyfikacji wrażliwych kontraktów i zapewnieniu cennego wglądu w to, jak atak przebiegał.
Dzięki „hakerom w białych kapeluszach”, czyli wolontariuszy-specjalistów działających dla dobra wspólnego, udało się w pewnym zakresie załagodzić szkody. Incydent pozostawi jednak prawdopodobnie trwały ślad na zaufaniu inwestorów do projektów DeFi. Ile pozostało luk w zabezpieczeniach o których nie wiemy?
Wiadomość o exploicie wywołała falę wstrząsów w całym sektorze kryptowalut, wywołując lawinę transakcji w rozmaitych pulach płynności i doprowadzając do gwałtownej deprecjacji wartości tokena użytkowego Curve Finance o tickerze $CRV. Na moment powstawania tego tekstu cena spada między 10-15% przy wyraźnie rosnącym wolumenie transakcyjnym.
Jest to dobry moment na przypomnienie wyzwań w zakresie zabezpieczeń przed jakimi stoi ekosystem DeFi. Protokoły te nadzwyczaj często zarządzają znacznym kapitałem, co czyni je łakomym kąskiem dla mających złe intencje podmiotów które posiadają dostateczną wiedzę i umiejętności aby wypróbowywać na nich różne wektory ataku. Ostatecznie nagroda najczęściej jest bowiem warta wszelkich wcześniejszych prób.