最近の出来事は、分散型金融(DeFi)セクターの重大な脆弱性を浮き彫りにしました。Curve Financeの脆弱性の波紋は広範な懸念を引き起こしています。この脆弱性により、プラットフォームから推定5200万ドルが抜き取られ、特にVyperプログラミング言語の特定のバージョンを使用して開発されたスマートコントラクトには重大な弱点が露呈しました。
Curve Financeの脆弱性の解明
Curve Financeは、イーサリアムやラップトイザリアム(WETH)などのステーブルコインや暗号通貨をスワップするための分散型取引所で、この脆弱性の中心に置かれました。攻撃者は、Vyperプログラミング言語の古いコンパイラの脆弱性を特定し、それがこの脆弱性を引き起こしました。この出来事の余波は大きく、Vyperを使用したさまざまな暗号通貨プロジェクトに広範な影響を与えています。
OpenZeppelinのソリューションアーキテクチャ責任者であるMichael Lewellan氏は、VyperはSolidityよりも一般的ではないが、その使用は依然として重要であると指摘しました。Vyperチームのツイートによれば、Vyperバージョン0.2.15、0.2.16、および0.3.0で開発された影響を受ける契約では、現在、機能しない再入ロックの脆弱性があります。これにより、他のVyperベースのdAppの開発者には、この問題にすぐに対処するよう緊急の呼びかけがなされています。
脆弱性の影響
Curve Financeの脆弱性は、Curve自体だけでなく、DeFiエコシステム全体のシステム的な脆弱性も露呈しました。このVyper言語の欠陥は、少数のEVM言語であるにもかかわらず、重要な問題でした。Open Zeppelinのソリューション開発者であるGustavo Gonzales氏は、問題はプロトコルやdAppのコードではなく、Vyperそのものにあると説明しています。
この脆弱性は、国家のスポンサーされたハッカーによるものかもしれないとの指摘もあります。ハッキングの実行とCurveのスマートコントラクトの脆弱性を露呈するには、リソースと時間、専門知識が必要でした。Vyperスマートコントラクトは、次の2つの条件が満たされた場合に脆弱性が発生する可能性があります:契約がVyperバージョン0.2.15で構築され、コードに適切な流動性の追加と削除の保護策が実装されていない場合。
脆弱性の広範な影響
他のチェーン上のCurveプロトコルのフォークも同様の脆弱性を報告しています。Ellipsis Financeは、総預金額650万ドルの許可されたCurveフォークで、BNBを持つ少数のステーブルプールが脆弱性にさらされたことをツイートしました。Curve FinanceのTricryptoプール(USDT、WBTC、ETHから構成)は、Curveのレイヤー2ソリューションArbitrumで展開されたものであり、可能性があります。
さらに、Convex Financeは、CurveのCRVトークンの収益最適化戦略を提供するDeFiアプリケーションで、総預金額138.2億ドルの流動性がCurveの脆弱性の後、291億ドルから52.5%減少しました。この出来事は業界全体に明確なメッセージを送り、DeFiスペースでの慎重なセキュリティ慣行の重要性を強調しています。
現在の状況を考慮すると、暗号通貨愛好家が市場を注視することは非常に重要です。cryptoview.ioのようなプラットフォームは、暗号通貨の世界を包括的に把握し、最新の動向を把握するのに役立ちます。急速に進化する暗号通貨の世界で潜在的な落とし穴に対する最善の防御策は、情報を得ることです。
