30 июля злоумышленники, используя уязвимость в компиляторе Vyper, взломали ряд пулов ликвидности децентрализованной биржи Curve Finance и похитили более $50 млн в различных токенах. Из-за наличия бага под угрозой в момент инцидента оказалось более 450 пулов. ForkLog обсудил кейс с экспертами.
Что случилось?
Согласно отчету Llama Risk, причиной хака Curve Finance стала неисправная блокировка повторного входа в определенных версиях компилятора Vyper.
«Контракты Curve становились уязвимыми при вызове функции raw_call для отправки нативных токенов. Каждый затронутый пул Curve использовал одну из проблемных версий Vyper и содержал пары с нативным ETH. Пулы в паре с WETH не пострадали», — отметили специалисты.
Как объяснили ForkLog представители аналитической компании Crystal Blockchain, уязвимость позволяла злоумышленникам создавать смарт-контракты, которые могли совершать транзакции без авторизации пользователя.
Инцидент затронул проекты Alchemix, JPEG’d, MetronomeDAO, Ellipsis и deBridge.
Наиболее пострадали следующие пулы:
- pETH/ETH, ущерб составил 6106,65 WETH (~$11 млн);
- msETH/ETH — 866,55 WETH (~$1,6 млн) и 959,71 msETH (~$1,8 млн);
- alETH/ETH — 7258,7 WETH (~$13,6 млн) и 4821,55 alETH (~$9 млн);
- CRV/ETH — 7 193 401,77 CRV (~$5,1 млн на момент инцидента), 7680,49 WETH (~$14,2 млн) и 2879,65 ETH (~$5,4 млн).
Также потенциально мог быть затронут пул Arbitrum Tri-Crypto. Аудиторы и разработчики Vyper не смогли подтвердить наличие эксплойта, однако команда Curve советовала провайдерам ликвидности выйти из него в качестве меры предосторожности.
Несмотря на невозможность экстренными ДАО-мерами остановить пул или каким-либо образом повлиять на средства пользователей, удалось заморозить эмиссию дополнительных CRV.