Verschillende gedecentraliseerde financiële protocollen werden zondag getroffen door aanvallers die voor meer dan $24 miljoen aan crypto stalen. De aanvallers maakten gebruik van een kwetsbaarheid in liquiditeitspools op Curve, het geautomatiseerde market maker platform.
Het lek was terug te voeren op Vyper, een alternatieve programmeertaal van derden voor Ethereum smart contracts, aldus Curve op Twitter. Curve zei dat andere liquiditeitspools die de taal niet gebruiken in orde zijn.
Een aantal stablepools (alETH/msETH/pETH) die gebruik maken van Vyper 0.2.15 zijn misbruikt als gevolg van een slecht functionerend reentrancy slot. We onderzoeken de situatie en zullen de gemeenschap op de hoogte houden van de ontwikkelingen.
Andere pools zijn veilig. https://t.co/eWy2d3cDDj
– Curve Finance (@CurveFinance) Juli 30, 2023
Liquiditeitspools zijn slimme contracten die tokens bevatten, en ze kunnen liquiditeit bieden aan cryptomarkten op een manier die niet afhankelijk is van financiële tussenpersonen. Maar zoals verschillende projecten zondag leerden, kan een kleine fout aanzienlijke verliezen opleveren.
Er werd voor $11 miljoen aan cryptocurrency gestolen van het NFT lending protocol JPEG’d, volgens het gedecentraliseerde financiële beveiligingsbedrijf Decurity. JPEG’d was een van de eersten die een probleem identificeerde met zijn pool op Curve.
“Er was een aanval,” zei JPEG’d op Twitter. “We hebben het probleem onderzocht vanaf het moment dat we ervan op de hoogte werden gesteld en […] het probleem lijkt gerelateerd te zijn aan de Curve-pool.”
JPEG’d stelt gebruikers in staat om NFT’s te plaatsen als onderpand voor leningen. In termen van activa die in JPEG’d zijn gestort, heeft het protocol een totale vergrendelde waarde (TVL) van ongeveer $32 miljoen. JPEG’d zei dat de code die verantwoordelijk is voor de bewaring van NFT’s en schatkistfondsen niet werd beïnvloed.
De governance token JPEG van het protocol was 23% gedaald op het moment van dit schrijven, volgens gegevens van CoinGecko. Op zondag haalde de munt een historisch dieptepunt van $0,000347.
In een nu verwijderde Tweet beschreef Curve de kwetsbaarheid aanvankelijk als een gewone, alleen-lezen “re-entrancy” aanval die voorkomen had kunnen worden. Een re-entrancy aanval vindt plaats wanneer een smart contract interageert met een ander contract, dat op zijn beurt terugroept naar het eerste contract voordat het volledig wordt uitgevoerd.
Kwetsbaarheden in re-entrancy stellen een aanvaller in staat om meerdere aanroepen in een enkele functie te proppen en een smart contract te misleiden tot het berekenen van onjuiste balansen. Een van de meest prominente voorbeelden hiervan was de $55 miljoen 2016 DAO hack op Ethereum.
In een reactie op een Twitter-account dat de geschrapte verklaring later herhaalde, zei Curve echter dat zijn eerste indruk verkeerd was.
“Yep, niet alleen-lezen,” zei Curve, eraan toevoegend dat er “geen sprake was van wangedrag aan de kant van projecten die integreerden, of zelfs gebruikers van vyper.”
Yep, niet alleen lezen. Geen wandaden aan de kant van de projecten die geïntegreerd hebben, of zelfs gebruikers van vyper hier
– Curve Finance (@CurveFinance) Juli 30, 2023
Re-entrancy aanvallen zijn een veel voorkomende vector voor aanvallers om protocollen te stelen, vertelde Meir Dolev, medeoprichter en CTO van cyberbeveiligingsbedrijf Cyvers, aan TCN.
“Ze komen vrij vaak voor,” zei Dolev. “En het is mogelijk om ze te vermijden met het juiste ontwerp en de juiste ontwikkeling.”
Het probleem was niet specifiek voor JPEG’d. Niet lang nadat het NFT uitleenprotocol werd misbruikt, verloren Alchemix en Metronome DAO respectievelijk $13,6 miljoen en $1,6 miljoen op een vergelijkbare manier, zei hij.
Alchemix erkende op Twitter dat het actief werkt aan het oplossen van een probleem met zijn liquiditeitspool. MetronomeDAO zei op Twitter dat het onderzoek naar wat er is gebeurd nog gaande is, en beschreef de aanval als “onderdeel van een bredere set van exploits”.
In het geval van JPEG’d werd de aanvaller voorop gelopen door een MEV-bot (maximal extractable value), zei Dolev. De bot identificeerde de transactie van de aanvaller en betaalde een vergoeding om een vergelijkbare transactie voor hem uit te voeren.
Vyper zei op Twitter dat het de compiler van de programmeertaal was die had gefaald. Wanneer een ontwikkelaar klaar is met het schrijven van code, wordt deze gecompileerd van een voor mensen leesbaar formaat naar een vorm die computers kunnen uitvoeren.
Hierdoor werkten de re-entry guards-beschermingen die in de code van de projecten waren opgenomen en die zouden moeten beschermen tegen re-entry aanvallen niet, aldus Dolev.
“De compiler slaagde er in sommige versies niet in om het op de juiste manier te compileren,” zei Dolev. “Het heeft een aantal bugs of fouten.”
