Die jüngsten Vorfälle, an denen Conic Finance, JPEG'd, Metronome und Alchemix beteiligt waren, haben in der DeFi-Community Anlass zur Sorge gegeben. Der Angriff hatte Auswirkungen auf mehrere dezentrale Finanzprojekte. Der alETH-ETH-Pool von Alchemix verzeichnete Abflüsse in Höhe von 13,6 Millionen US-Dollar, während der pETH-ETH-Pool von PEGd Verluste in Höhe von 11,4 Millionen US-Dollar erlitt. Der sETH-ETH-Pool von Metronome wurde für 1,6 Millionen US-Dollar gehackt, und in den letzten Stunden wurden über 32 Millionen Curve DAO (CRV)-Token im Wert von über 22 Millionen US-Dollar abgezogen.
Darüber hinaus wurde eine kleine Anzahl stabiler Pools mit BNB auf der dezentralen Börse Ellipsis mithilfe eines alten Vyper-Compilers ausgenutzt. Die Angriffsserie begann am 21. Juli bei Conic Finance, wo Vermögenswerte aufgrund einer Verbindung mit LP-Tokens auf Curve Finance abgezogen wurden.
Die genauen Gründe für diese Exploits wurden zum jetzigen Zeitpunkt noch nicht vollständig bekannt gegeben. Die Community hat jedoch zwei Hauptfaktoren spekuliert. Zunächst werden Schwachstellen in den Versionen 0.2.15/0.2.16/0.3.0 der Programmiersprache VyperLang vermutet. Diesen Versionen fehlt der Re-Entrancy-Anti-Angriffsfilter, der es Hackern ermöglicht, Rundungsangriffe durchzuführen und Gelder aus Liquiditätspools abzuheben.
Die zweite Vermutung, die in einem ChainSecurity-Dokument dargelegt wird, konzentriert sich auf die Funktion „get_virtual_price“ von Curve Finance. Diese Funktion, die den Marktpreis von LP-Tokens bestimmt, kann möglicherweise von Re-Entrancy-Hackern manipuliert werden, um eine Auszahlungsschleife zu erzeugen und den Oracle-Preisindex zu manipulieren.
Insbesondere stellt das ChainSecurity-Dokument klar, dass diese Schwachstelle keine internen Auswirkungen auf Curve-Pools hat. Stattdessen kann es sich auf Plattformen auswirken, die die LP-Token von Curve als Sicherheit verwenden, was zu falschen Kreditabhebungen führen kann.
Curve Finance und betroffene Projekte werden wahrscheinlich eng mit der Community zusammenarbeiten, um die Grundursachen dieser Angriffe zu analysieren und anzugehen. Für das DeFi-Ökosystem ist es von entscheidender Bedeutung, robuste Sicherheitsmaßnahmen zu implementieren und die Transparenz zu fördern, um Vertrauen bei den Benutzern zu schaffen und das nachhaltige Wachstum des DeFi-Sektors aufrechtzuerhalten.