Зловмисник скористався вразливістю в мові програмування Vyper 0.2.15 і вкрав гроші у пулах, які її використовували. alETH/msETH/pETH постраждали на $24 млн, а з пулу CRV/ETH викрали $21 млн — 7680 ETH і 7.2 млн CRV. Експлойт загрожує активам на $100 млн.
Зловмисник скористався вразливістю в мові програмування Vyper 0.2.15 і вкрав гроші у пулах, які її використовували. alETH/msETH/pETH постраждали на $24 млн, а з пулу CRV/ETH викрали $21 млн — 7680 ETH і 7.2 млн CRV. Експлойт загрожує активам на $100 млн.
Повідомляється, що найбільше постраждали пули ліквідності на Curve, автоматизованій платформі маркет-мейкера. В компанії заявили, що вразливість була у Vyper — альтернативній сторонній мові програмування для смартконтрактів Ethereum. Інші пули, за словами Curve, не постраждали.
Однією з перших про атаку заявила JPEG’d, компанія, що надає послуги з кредитування NFT. Вона дозволяє своїм користувачам розміщувати NFT як заставу за кредитами. Втрати JPEG’d в пулі Curve склали $11 млн, внаслідок атаки токен JPEG впав приблизно на 23% і досягнув історичного мінімуму в $0,000347.
Згодом Alchemix і Metronome DAO також повідомили, що втратили $13,6 млн і $1,6 млн відповідно у схожий спосіб.
Описуючи ситуацію, в Curve спочатку заявили, що це була звичайна атака на «повторний вхід». Проте згодом компанія видалила свій твіт і повідомила, що перше враження було помилковим і проблема є глибшою.
Yep, not read only. No wrongdoing on the side of the projects who integrated, or even users of vyper here
— Curve Finance (@CurveFinance) July 30, 2023
Вразливості «повторного входу» дозволяють зловмиснику втиснути кілька викликів в одну функцію й обдурити смартконтракт, змусивши його обчислити неправильний баланс. Одним з найяскравіших прикладів був злом DAO Ethereum на $55 млн у 2016 році.
Розробники Vyper написали у Twitter, що причиною збою став компілятор мови програмування. Як пояснив Меїр Долев (Meir Dolev), співзасновник і технічний директор кібербезпекової компанії Cyvers, ця помилка компілятора завадила інструментам захисту від «повторного входу» спрацювати належним чином.
Засновником Curve є російський програміст Міхаіл Єгоров. Відомо, що він має відкриту кредитну позицію за CRV на понад $70 млн, але експерти припускають, що подальше зниження ціни може змусити його закрити свою позицію.
