Várias equipes que bifurcaram o código do Curve Finance estão agora relatando explorações depois que um invasor descobriu uma vulnerabilidade em um compilador antigo na linguagem de programação Vyper.
Curve Finance é uma troca descentralizada para trocas estáveis entre stablecoins e tokens criptográficos, como Ethereum e Wrapped Ethereum (WETH).
A plataforma foi explorada no domingo por um valor estimado de US $ 52 milhões.
Além dos danos causados à própria Curve, o hack expôs uma vulnerabilidade crítica no ecossistema DeFi mais amplo, afetando especificamente os contratos inteligentes construídos usando certas versões da linguagem de programação Vyper.
Isso teve efeitos indiretos, dado o quão prevalente o Vyper é usado entre vários projetos de criptografia – embora muito menos do que Solidity, disse o chefe de arquitetura de soluções da OpenZeppelin, Michael Lewellan, à TCN.
De acordo com um tweet da equipa do Vyper, os contratos desenvolvidos com as versões 0.2.15, 0.2.16 e 0.3.0 do Vyper são atualmente “vulneráveis a bloqueios de reentrada com mau funcionamento. “
PSA: As versões 0.2.15, 0.2.16 e 0.3.0 do Vyper são vulneráveis a bloqueios de reentrada com mau funcionamento. A investigação está em curso, mas qualquer projeto que dependa destas versões deve contactar-nos imediatamente.
– Vyper (@vyperlang) 30 de julho de 2023
A equipa insta os programadores de outros dApps baseados no Vyper a “resolverem imediatamente” este problema. “Este não era um problema nos protocolos ou no código dos dapps, mas um problema no próprio Vyper – que é uma linguagem EVM minoritária, mas já existe há muito tempo”, disse o desenvolvedor de soluções da Open Zeppelin Gustavo Gonzales ao TCN.
O desenvolvedor pseudónimo do Vyper, señor doggo, suspeita do envolvimento de “hackers patrocinados pelo Estado” com base no nível de recursos, tempo e experiência utilizados na execução do hack e na exposição da vulnerabilidade com contratos inteligentes Curve.
Officer’s Notes, um investigador de segurança independente, disse ao TCN que os contratos inteligentes Vyper “podem ser vulneráveis se forem cumpridas duas condições”.
Primeiro, é que o contrato é construído usando a versão 0.2.15 do Vyper. Em segundo lugar, é que as salvaguardas apropriadas para adicionar e remover liquidez não são implementadas no código.
Certo tipo de pool de fábrica de curvas está a sofrer um ataque de reentrada só de leitura e a causar uma perda total de $11m(@JPEGd_69) + $13m(@AlchemixFi) + …
A investigação inicial descobriu que o compilador vyper (0.2.15) não implementa corretamente a proteção de reentrada.
add_liquidity e… pic.twitter.com/avaHdtSFsm
– Tony KΞ (@tonyke_bot) 30 de julho de 2023
Outro problema que pode ter acelerado os danos do exploit foi o facto de os detalhes do bug terem sido publicados no Twitter antes de o exploit ter sido mitigado.
Isso levou “a algumas reações adversas devido a essas informações serem potencialmente usadas para outros ataques”, disse Lewellan ao TCN. “Há preocupações na comunidade de segurança da ETH de que a comunicação de bugs precisa ser mais discreta. “
Curve forks reportam exploits
Os forks do protocolo Curve noutras cadeias também estão a surgir com relatórios de exploração semelhantes.
A Ellipsis Finance, um fork autorizado do Curve com 6,5 milhões de dólares em depósitos totais, segundo dados da DeFiLlama, tweetou esta manhã que um “pequeno número de stablepools com BNB” foram explorados.
Um pequeno número de stablepools com BNB usando um compilador Vyper antigo foi explorado.
Estamos a avaliar a situação e iremos atualizar a comunidade sobre quaisquer outras descobertas. https://t.co/pxkhRRSr5w
– Ellipsis (@Ellipsisfi) 30 de julho de 2023
A equipe do
Curve Finance também disse que o pool Tricrypto – composto de USDT, WBTC e ETH – na implantação do Curve na solução de camada 2 Arbitrum também foi “potencialmente afetado”, mas ainda não foi explorado.
Auxo DAO, um fundo descentralizado de cultivo de rendimento com depósitos totais no valor de $ 5.4 milhões, decidiu remover a liquidez dos pools Curve e Convex Finance para “mitigar os riscos de contágio”.
Para mitigar os riscos de contágio, todas as posições foram prontamente retiradas do Curve / Convex até novo aviso.
A exposição da tesouraria ao pool @AlchemixFi alETH/ETH é de 429,6 ETH. Estamos a monitorizar a situação, mais informações em breve. https://t.co/wewmvWavwM
– Auxo (@AuxoDAO) 30 de julho de 2023
Convex Finance é um aplicativo DeFi que oferece estratégia de otimização de rendimento para tokens CRV da Curve com depósitos totais no valor de US $ 1.382 bilhão, de acordo com dados do DefiLlama. Sua liquidez despencou 52.5% de US $ 2.91 bilhões desde ontem, após a exploração da Curve.
Ele tem 298.3 milhões de tokens CRV, de acordo com um painel de controle do Dune, representando um terço da oferta circulante de CRV.
