Nylige hendelser har fremhevet en betydelig sårbarhet i desentralisert finans (DeFi) sektor, med ringvirkningene av en Curve Finance-utnyttelse som forårsaker bred bekymring. Utnyttelsen, som resulterte i at anslagsvis 52 millioner dollar ble tatt fra plattformen, har avdekket en kritisk svakhet i det bredere DeFi-landskapet, spesielt påvirker smarte kontrakter utviklet ved hjelp av visse versjoner av programmeringsspråket Vyper.
Å avdekke Curve Finance-utnyttelsen
Curve Finance, en desentralisert børs for utveksling av stablecoins og kryptovalutaer som Ethereum og Wrapped Ethereum (WETH), befant seg midt i stormen. Angriperen identifiserte en sårbarhet i en gammel kompilator av programmeringsspråket Vyper, som førte til utnyttelsen. Konsekvensene av denne hendelsen har vært vidtrekkende, med tanke på den utbredte bruken av Vyper i ulike kryptoprosjekter.
Michael Lewellan, leder for løsningsarkitektur hos OpenZeppelin, bemerket at selv om Vyper er mindre utbredt enn Solidity, er bruken fortsatt betydelig. De berørte kontraktene, utviklet med Vyper-versjoner 0.2.15, 0.2.16 og 0.3.0, er for øyeblikket sårbare for feilfungerende reentrancy-låser, ifølge en tweet fra Vyper-teamet. Dette har ført til en presserende oppfordring til utviklere av andre Vyper-baserte dApps om å håndtere dette problemet umiddelbart.
Implikasjoner av utnyttelsen
Curve Finance-utnyttelsen har ikke bare påvirket Curve selv, men også avdekket en systemisk sårbarhet i DeFi-økosystemet. Denne svakheten i Vyper-språket, selv om det er et mindretall EVM-språk, har vært et betydelig problem. Gustavo Gonzales, en løsningsutvikler hos Open Zeppelin, forklarte at problemet ikke ligger i protokollene eller dApps-koden, men i Vyper selv.
Det er blitt antydet at utnyttelsen kan ha vært arbeidet til statssponsede hackere, med tanke på ressursene, tiden og ekspertisen som kreves for å utføre hacken og avsløre sårbarheten i Curves smarte kontrakter. Vyper smarte kontrakter kan være sårbare hvis to betingelser er oppfylt: kontrakten er bygd med Vyper-versjon 0.2.15, og passende sikkerhetsmekanismer for å legge til og fjerne likviditet ikke er implementert i koden.
Bredere innvirkning av utnyttelsen
Curve-protokollforgreninger på andre nettverk rapporterer også lignende utnyttelser. Ellipsis Finance, en autorisert Curve-forgrening med totalt 6,5 millioner dollar i innskudd, twitret om utnyttelsen av et lite antall stablepools med BNB. Curve Finance’s Tricrypto-pool – bestående av USDT, WBTC og ETH – på Curves distribusjon på lag-2-løsningen Arbitrum ble også potensielt påvirket.
I tillegg har Convex Finance, en DeFi-applikasjon som tilbyr avkastningsoptimeringsstrategi for Curves CRV-token med totalt 1,382 milliarder dollar i innskudd, sett likviditeten sin synke med 52,5% fra 2,91 milliarder dollar etter Curve-utnyttelsen. Denne utviklingen har sendt en tydelig melding til bransjen og understreket viktigheten av årvåken sikkerhetspraksis i DeFi-rommet.
Gitt den nåværende tilstanden, er det avgjørende for kryptoentusiaster å holde et skarpt øye med markedet. Plattformer som cryptoview.io kan gi en omfattende oversikt over kryptoverdenen, og gjøre det enklere å holde seg oppdatert med de siste utviklingene. Å holde seg informert er den beste forsvarsmekanismen mot potensielle fallgruver i det stadig utviklende kryptolandskapet.
