Atualização (30 de julho, às 19h - horário de Brasília): Este artigo foi atualizado para fornecer mais detalhes sobre o exploit
Vários pools no Curve Finance usando Vyper foram hackeados em 30 de julho, com perdas chegando a mais de US$ 47 milhões. De acordo com Vyper, suas versões 0.2.15, 0.2.16 e 0.3.0 são vulneráveis a bloqueios de reentrância com defeito.
"A investigação está em andamento, mas qualquer projeto que dependa dessas versões deve entrar em contato conosco imediatamente", escreveu Vyper no X.
Com base em uma análise dos contratos afetados pela empresa de segurança Ancilia, 136 contratos usaram o Vyper 0.2.15 com proteção reentrante, 98 contratos usou Vyper 0.2.16 e 226 contratos usaram Vyper 0.3.0.
Um número de stablepools (alETH/msETH/pETH) usando Vyper 0.2.15 foi hackeado como resultado de um bloqueio de reentrância com defeito. Estamos avaliando a situação e atualizaremos a comunidade à medida que as coisas se desenvolverem.
— Curve Finance (@CurveFinance) 30 de julho de 2023
Outras piscinas são seguras. https://t.co/eWy2d3cDDj
De acordo com a investigação inicial, algumas versões do compilador Vyper não implementam corretamente a proteção de reentrância, o que impede que várias funções sejam executadas ao mesmo tempo, bloqueando um contrato. Os ataques de reentrância podem drenar todos os fundos de um contrato.
Vyper é uma linguagem de programação Python orientada a contratos que tem como alvo a Ethereum Virtual Machine (EVM) . As semelhanças do Vyper com o Python tornam a linguagem um dos pontos de partida para os desenvolvedores Python entrarem na Web3.
Vários projetos de finanças descentralizadas (DeFi) foram afetados pelo ataque. A exchange descentralizada Ellipsis relatou que um pequeno número de pools estáveis com BNB foram hackeados usando um antigo compilador Vyper.
O alETH-ETH da Alchemix também testemunhou uma saída de US$ 13,6 milhões, juntamente com US$ 11,4 milhões hackeados no pool pETH-ETH da JPEGd e US$ 1,6 milhão no pool sETH-ETH da Metronome. O CEO da Curving Finance, Michael Egorov, confirmou mais tarde que 32 milhões de tokens CRV no valor de mais de US$ 22 milhões foram drenados do pool de swap em um canal do Telegram.
Certo tipo de pool de fábrica Curve está enfrentando um ataque de reentrância somente leitura e causando uma perda total de $ 11 milhões ( @JPEGd_69 ) + $ 13 milhões ( @AlchemixFi ) + ...
— Tony KΞ (@tonyke_bot) 30 de julho de 2023
A investigação inicial descobriu que o compilador vyper (0.2.15) não implemente a proteção de reentrância corretamente.
add_liquidity e… pic.twitter.com/avaHdtSFsm
O hack gerou pânico em todo o ecossistema DeFi, gerando uma onda de transações em pools e uma operação de resgate de hackers White hat. Dados do CoinMarketCap mostram que o token utilitário Curve DAO (CRV) da Curve Finance caiu mais de 5% em reação às notícias.
A liquidez do CRV diminuiu significativamente nos últimos meses, tornando-o vulnerável a violentas oscilações de preços, informou o Cointelegraph . De acordo com a Curve Finance, os contratos de crvUSD e quaisquer pools com ele não foram afetados pelo ataque.
O Curve Finance foi alvo de uma série de incidentes em seu ecossistema. Apenas alguns dias atrás, sua plataforma omnipool Conic Finance foi hackeada em US$ 3,26 milhões de Ether ( ETH ), com quase todo o valor roubado enviado para um novo endereço Ethereum em apenas uma transação.
Os protocolos DeFi foram alvo de vários ataques nos últimos meses . De acordo com um relatório do De.Fi, aplicativo de portfólio da Web3, mais de US$ 204 milhões foram roubados por meio de hacks e golpes DeFi apenas no segundo trimestre de 2023.
Revista: Projetos criptográficos devem negociar com hackers? Provavelmente
LEIA MAIS