Niedawne wydarzenia ujawniły znaczącą podatność sektora finansów zdecentralizowanych (DeFi), a fale uderzeniowe wywołane przez atak na Curve Finance wzbudziły powszechne zaniepokojenie. Atak, który pozwolił na wykradzenie szacunkowo 52 milionów dolarów z platformy, ujawnił poważną słabość w szerszym krajobrazie DeFi, szczególnie wpływając na inteligentne umowy opracowane przy użyciu określonych wersji języka programowania Vyper.
Odszyfrowywanie ataku na Curve Finance
Curve Finance, zdecentralizowana giełda do wymiany stabilnych kryptowalut i kryptowalut takich jak Ethereum i Wrapped Ethereum (WETH), znalazła się w centrum burzy. Atakujący zidentyfikował podatność w starym kompilatorze języka programowania Vyper, co doprowadziło do ataku. Skutki tego zdarzenia są dalekosiężne, biorąc pod uwagę powszechne użycie Vypera w różnych projektach kryptowalutowych.
Michael Lewellan, Kierownik Architektury Rozwiązań w OpenZeppelin, zauważył, że mimo że Vyper jest mniej powszechny niż Solidity, jego użycie jest wciąż istotne. Według tweeta zespołu Vyper, dotknięte umowy opracowane z wykorzystaniem wersji 0.2.15, 0.2.16 i 0.3.0 Vypera są obecnie podatne na awarie blokady reentrancyjnej. W związku z tym nadszedł pilny apel do twórców innych dAppów opartych na Vyperze, aby niezwłocznie rozwiązać ten problem.
Implikacje ataku
Atak na Curve Finance nie tylko wpłynął na samą Curve, ale także ujawnił systemową podatność ekosystemu DeFi. Wada języka Vyper, choć mniejszego znaczenia w stosunku do innych języków EVM, była poważnym problemem. Gustavo Gonzales, programista rozwiązań w Open Zeppelin, wyjaśnił, że problem nie leży w protokołach ani kodzie dAppów, ale w samym Vyperze.
Sugerowano, że atak mógł być dziełem hakerów działających na zlecenie państwa, biorąc pod uwagę zasoby, czas i wiedzę wymagane do przeprowadzenia ataku i ujawnienia podatności w inteligentnych umowach Curve. Inteligentne umowy Vypera mogą być podatne, jeśli spełnione są dwa warunki: umowa jest zbudowana przy użyciu wersji 0.2.15 Vypera i w kodzie nie są wdrożone odpowiednie zabezpieczenia dotyczące dodawania i usuwania płynności.
Szerszy wpływ ataku
Podobne ataki są również zgłaszane przez rozgałęzienia protokołu Curve na innych łańcuchach. Ellipsis Finance, autoryzowany rozgałęzienie Curve z depozytami o łącznej wartości 6,5 miliona dolarów, poinformował na Twitterze o ataku na niewielką liczbę pul stabilnych z BNB. Pula Tricrypto Curve Finance – składająca się z USDT, WBTC i ETH – na platformie Curve w rozwiązaniu warstwy drugiej Arbitrum również mogła być zagrożona.
Ponadto, Convex Finance, aplikacja DeFi oferująca strategię optymalizacji wydajności dla tokenów CRV Curve o łącznej wartości depozytów wynoszącej 1,382 miliarda dolarów, odnotowała spadek płynności o 52,5% z 2,91 miliarda dolarów po ataku na Curve. To zdarzenie przekazało jasny komunikat dla całego przemysłu, podkreślając znaczenie skrupulatnych praktyk bezpieczeństwa w przestrzeni DeFi.
Przy obecnym stanie rzeczy niezwykle ważne jest, aby entuzjaści kryptowalut śledzili uważnie rynek. Platformy takie jak cryptoview.io mogą zapewnić kompleksowe spojrzenie na świat kryptowalut, ułatwiając pozostanie na bieżąco z najnowszymi wydarzeniami. Pozostanie dobrze poinformowanym jest najlepszą obroną przed potencjalnymi pułapkami w dynamicznie rozwijającym się krajobrazie kryptowalut.
