Недавние события подчеркнули значительную уязвимость в секторе децентрализованной финансовой (DeFi) системы, и эхо эксплойта Curve Finance вызвало широкую озабоченность. Эксплойт, в результате которого с платформы было украдено около $52 млн, выявил критическую слабость в широкой области DeFi, особенно затрагивающую смарт-контракты, разработанные с использованием определенных версий языка программирования Vyper.
Раскрытие эксплойта Curve Finance
Curve Finance, децентрализованная биржа для обмена стейблкоинов и криптовалют, таких как Ethereum и Wrapped Ethereum (WETH), оказалась в центре внимания. Злоумышленник обнаружил уязвимость в старом компиляторе языка программирования Vyper, что привело к эксплойту. Последствия этого события имели широкий охват, учитывая широкое использование Vyper в различных криптопроектах.
Майкл Левеллан, руководитель архитектуры решений в OpenZeppelin, отметил, что хотя Vyper менее распространен, чем Solidity, его использование все равно значительно. По словам команды Vyper в твите, затронутые контракты, разработанные с использованием версий Vyper 0.2.15, 0.2.16 и 0.3.0, в настоящее время подвержены неправильной работе блокировки повторного входа. Это побудило разработчиков других Vyper-основанных dApps срочно устранить эту проблему.
Последствия эксплойта
Эксплойт Curve Finance не только затронул саму Curve, но и выявил системную уязвимость в экосистеме DeFi. Эта уязвимость в языке Vyper, хотя он и является языком меньшинства в EVM, представляет собой серьезную проблему. Густаво Гонсалес, разработчик решений в Open Zeppelin, пояснил, что проблема заключается не в протоколах или коде dApps, а в самом Vyper.
Предполагается, что эксплойт мог быть выполнен государственными хакерами, учитывая ресурсы, время и опыт, необходимые для осуществления хака и выявления уязвимости в смарт-контрактах Curve. Смарт-контракты Vyper могут быть уязвимыми, если соблюдаются два условия: контракт создан с использованием Vyper версии 0.2.15, и в коде не реализованы соответствующие меры безопасности для добавления и удаления ликвидности.
Широкий влияние эксплойта
Форки протокола Curve на других цепях также сообщают о похожих эксплойтах. Ellipsis Finance, авторизованный форк Curve с общими вкладами на сумму $6,5 млн, сообщил в твите о эксплойте небольшого числа стейбпулов с BNB. Также мог быть затронут Tricrypto пул Curve Finance, состоящий из USDT, WBTC и ETH, в развертке Curve на решении второго уровня Arbitrum.
Кроме того, Convex Finance, DeFi-приложение, предлагающее стратегию оптимизации доходности для токенов CRV Curve с общими вкладами на сумму $1,382 млрд, увидело снижение ликвидности на 52,5% с $2,91 млрд после эксплойта Curve. Это событие послужило ясным сигналом для всей отрасли, подчеркивая важность тщательной практики безопасности в пространстве DeFi.
В свете текущего положения дел крайне важно, чтобы криптоэнтузиасты внимательно следили за рынком. Платформы, такие как cryptoview.io, могут предоставить всесторонний обзор криптомира, что упростит вам быть в курсе последних событий. Быть информированным — лучшая защита от потенциальных проблем в быстро меняющемся криптомире.
