Эксперт: взлом Curve — мелкий инцидент в сравнении с действиями SEC

30 июля злоумышленники, используя уязвимость в компиляторе Vyper, взломали ряд пулов ликвидности децентрализованной биржи Curve Finance и похитили более $50 млн в различных токенах. Из-за наличия бага под угрозой в момент инцидента оказалось более 450 пулов. ForkLog обсудил кейс с экспертами.

Что случилось? Согласно отчету Llama Risk, причиной хака Curve Finance стала неисправная блокировка повторного входа в определенных версиях компилятора Vyper. «Контракты Curve становились уязвимыми при вызове функции raw_call для отправки нативных токенов. Каждый затронутый пул Curve использовал одну из проблемных версий Vyper и содержал пары с нативным ETH.

Пулы в паре с WETH не пострадали», — отметили специалисты. Данные: X.Как объяснили ForkLog представители аналитической компании Crystal Blockchain, уязвимость позволяла злоумышленникам создавать смарт-контракты, которые могли совершать транзакции без авторизации пользователя. Инцидент затронул проекты Alchemix, JPEG'd, MetronomeDAO, Ellipsis и deBridge.

Наиболее пострадали следующие пулы: pETH/ETH, ущерб составил 6106,65 WETH (~$11 млн); msETH/ETH — 866,55 WETH (~$1,6 млн) и 959,71 msETH (~$1,8 млн); alETH/ETH — 7258,7 WETH (~$13,6 млн) и 4821,55 alETH (~$9 млн); CRV/ETH — 7 193 401,77 CRV (~$5,1 млн на момент инцидента), 7680,49 WETH (~$14,2 млн) и 2879,65 ETH (~$5,4 млн). Также потенциально мог быть затронут пул Arbitrum Tri-Crypto. Аудиторы и разработчики Vyper не смогли подтвердить наличие эксплойта, однако команда Curve советовала провайдерам ликвидности выйти из него в качестве меры предосторожности.Несмотря на невозможность экстренными ДАО-мерами остановить пул или каким-либо образом повлиять на средства пользователей, удалось заморозить эмиссию дополнительных CRV.