Curve Финансы потеряла 50 миллионов долларов, а токен CRV упал на 12% в результате последней атаки DeFi

Curve, биржа стейблкоинов, лежащая в основе децентрализованных Финансы (DeFi) на базе Ethereum, стала жертвой эксплойта, согласно твит из проекта.

Curve использует смарт-контракты вместо посредников для предоставления пользователям финансовых услуг, таких как заимствование, торговля и кредитование стейблкоинов. Вкладчики на Curve получают годовой доход до 4% от ONE из многочисленных пулов на платформе.

Криптовалюта стоимостью более 100 миллионов долларов находится под угрозой из-за ошибки «повторного входа» в Vyper, языке программирования, используемом для поддержки частей системы Curve. Несколько пулов стейблкоинов на платформе, используемых для ценообразования и ликвидности в ряде различных сервисов DeFi, уже были опустошены хакерами.

«В результате проблемы в компиляторе Vyper в версиях 0.2.15–0.3.0 были взломаны следующие пулы: CRV/ ETH, aleth/ ETH, mseth/ ETH, peth/ ETH», — написал Curve в Твиттере в понедельник.

Повторный вход — это распространенная ошибка, которая позволяет злоумышленникам обмануть смарт-контракт, делая повторные вызовы протокола с целью кражи активов. Вызов — это авторизация для адреса смарт-контракта для взаимодействия с адресом кошелька пользователя.

Другие проекты, использующие язык программирования Vyper, могут иметь ту же уязвимость.

На момент публикации не было ясно, сколько средств было выведено из Curve в результате атаки. BlockSec, аудиторская фирма блокчейнов, оценила общие потери более чем в 42 миллиона долларов в предварительном анализе, опубликованном в Twitter. Тарун Читра, генеральный директор и основатель компании по моделированию Криптo Gauntlet, подсчитал, что злоумышленник украл около 20 миллионов долларов CRV и версию эфира.

По данным сайта Curve, компания управляет 232 различными пулами, но под угрозой находятся только пулы, использующие версии Vyper 0.2.15, 0.2.16 и 0.3.0, сообщил mimaklas, член команды, в своем объявлении в Discord.

Мимаклас также сообщил, что «все затронутые бассейны были осушены или взломаны, и команда оценивает ситуацию с затронутыми командами».

В другом месте протокол кредитования и заимствования Aave отключил свою функцию заимствования CRV на фоне паники. Огромный долг CRV в размере 100 миллионов долларов от основателя Curve Михаила Егорова на Aave приближается к ликвидации - и если цены CRV продолжат расти и достигнут порога ликвидации, протоколам придется ликвидировать позиции CRV .

Whitehat отправляет средства; CRV тонет

Curve Финансы удалось вернуть часть денег благодаря оператору бота 'c0ffeebabe. ETH', который вернул платформе 2879 ETH, что по текущим ценам составляет около 5,5 миллионов долларов. Эти средства были этично украдены у хакера путем проведения его вредоносной транзакции.

Ограбление дестабилизировало торговые Рынки для собственного токена CRV Curve DAO, который упал на 17% в день по цене $0,61 на момент публикации. Это ценовое действие грозило Compound хаос, потенциально вызвав ликвидацию позиции основателя Curve по займу в размере $70 млн на Aave.

Между тем, по данным поставщика данных DeFiLlama, общая стоимость активов, заблокированных на Curve, резко упала до 1,7 млрд долларов в понедельник с более чем 3 млрд долларов в воскресенье, поскольку, по всей вероятности, инвесторский капитал покинул биржу.

ОБНОВЛЕНИЕ (30 июля 2023 г., 21:25 UTC):Добавляет дополнительную информацию.

ОБНОВЛЕНИЕ (30 июля 2023 г., 09:30 UTC): Обновления с последними комментариями от Curve, эффектами заражения Aave, падением стоимости Curve DeFi и объяснениями атаки с повторным входом.