💳 Trustee Plus — твоя персональна картка європейського банку: 3 хвилини і 10 євро 👉
Олександр КузьменкоГаряченьке
31 липня 2023, 12:40
2023-07-31
Вразливість пулу Curve дала змогу хакеру вкрасти криптовалюти на $40 млн. Ще $100 млн під загрозою
Зловмисник скористався вразливістю в мові програмування Vyper 0.2.15 і вкрав гроші у пулах, які її використовували. alETH/msETH/pETH постраждали на $24 млн, а з пулу CRV/ETH викрали $21 млн — 7680 ETH і 7.2 млн CRV. Експлойт загрожує активам на $100 млн.
Повідомляється, що найбільше постраждали пули ліквідності на Curve, автоматизованій платформі маркет-мейкера. В компанії заявили, що вразливість була у Vyper — альтернативній сторонній мові програмування для смартконтрактів Ethereum. Інші пули, за словами Curve, не постраждали.
Однією з перших про атаку заявила JPEG’d, компанія, що надає послуги з кредитування NFT. Вона дозволяє своїм користувачам розміщувати NFT як заставу за кредитами. Втрати JPEG’d в пулі Curve склали $11 млн, внаслідок атаки токен JPEG впав приблизно на 23% і досягнув історичного мінімуму в $0,000347.
Згодом Alchemix і Metronome DAO також повідомили, що втратили $13,6 млн і $1,6 млн відповідно у схожий спосіб.
Описуючи ситуацію, в Curve спочатку заявили, що це була звичайна атака на «повторний вхід». Проте згодом компанія видалила свій твіт і повідомила, що перше враження було помилковим і проблема є глибшою.
Вразливості «повторного входу» дозволяють зловмиснику втиснути кілька викликів в одну функцію й обдурити смартконтракт, змусивши його обчислити неправильний баланс. Одним з найяскравіших прикладів був злом DAO Ethereum на $55 млн у 2016 році.
Розробники Vyper написали у Twitter, що причиною збою став компілятор мови програмування. Як пояснив Меїр Долев (Meir Dolev), співзасновник і технічний директор кібербезпекової компанії Cyvers, ця помилка компілятора завадила інструментам захисту від «повторного входу» спрацювати належним чином.
Засновником Curve є російський програміст Міхаіл Єгоров. Відомо, що він має відкриту кредитну позицію за CRV на понад $70 млн, але експерти припускають, що подальше зниження ціни може змусити його закрити свою позицію.
«Росіяни завжди хочуть когось трахнути». Микита Книш розповів FT, як українські хакери видавали себе за дівчат, зламували камери відеоспостереження та россайти заради перемоги
Видання Financial Times опублікувало статтю про роботу українських хакерів у війні проти рф, засновану на розмові з українським білим хакером Микитою Книшем. Він, як і сотні інших хакерів, допомагає боротися із російськими загарбниками в кіберпросторі. Наводимо адаптований переклад матеріалу.
Ethereum запрацює по-новому: експерти криптобіржі Huobi Global пояснюють, що саме станеться з валютою після "злиття"
Велике злиття Ethereum попередньо заплановано на середину вересня. Дебати про його вплив на індустрію блокчейнів були швидкими та бурхливими. У результаті злиття поточна основна мережа Ethereum об’єднається з мережею Beacon Chain із підтвердженням частки, що стане найглибшим оновленням Ethereum на сьогоднішній день, поступаючись за важливістю лише блоку genesis. Цей перехід також є прикладом того, як велика децентралізована система може значно зменшити свій вуглецевий слід. Детальніше пояснюють експерти криптобіржі Huobi Global.