es.cointelegraph.com
Actualización (30 de julio, a las 7:55 pm UTC): Este artículo se ha actualizado para proporcionar más detalles sobre el exploit
Varios pools estables de Curve Finance que utilizaban Vyper fueron explotados el 30 de julio, con pérdidas que superaron los USD 47 millones. Según Vyper, sus versiones 0.2.15, 0.2.16 y 0.3.0 son vulnerables al mal funcionamiento de los bloqueos de reentrada.
"La investigación está en curso, pero cualquier proyecto que dependa de estas versiones debe ponerse inmediatamente en contacto con nosotros", escribió Vyper en X. Según un análisis de los contratos afectados realizado por la empresa de seguridad Ancilia, 136 contratos utilizaban Vyper 0.2.15 con protección reentrante, 98 contratos utilizaban Vyper 0.2.16 y 226 contratos utilizaban Vyper 0.3.0.
A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.
— Curve Finance (@CurveFinance) July 30, 2023
Other pools are safe. https://t.co/eWy2d3cDDj
Un número de stablepools (alETH/msETH/pETH) que utilizan Vyper 0.2.15 han sido explotados como resultado de un mal funcionamiento del bloqueo de reentrada. Estamos evaluando la situación e informaremos a la comunidad a medida que se desarrollen los acontecimientos.
Los demás pools están a salvo.
Según una investigación inicial, algunas versiones del compilador Vyper no implementan correctamente la guardia de reentrada, que impide que se ejecuten varias funciones al mismo tiempo bloqueando un contrato. Los ataques de reentrada pueden vaciar potencialmente todos los fondos de un contrato.
Vyper es un lenguaje de programación python orientado a contratos que tiene como objetivo la Ethereum Virtual Machine (EVM). Las similitudes de Vyper con Python hacen de este lenguaje uno de los puntos de partida para los desarrolladores de Python que saltan a la Web3.
Varios proyectos financieros descentralizados se vieron afectados por el ataque. El exchange descentralizado Ellipsis informó de que un pequeño número de pools estables con BNB fueron explotados utilizando un antiguo compilador de Vyper. AlETH-ETH de Alchemix también fue testigo de una fuga de USD 13.6 millones, junto con USD 11.4 millones explotados en el pool pETH-ETH de JPEGd, y USD 1.6 millones en el pool sETH-ETH de Metronome. El CEO de Curving Finance, Michael Egorov, confirmó más tarde en un canal de Telegram que se habían retirado 32 millones de tokens CRV por valor de más de USD 22 millones del swap pool.
Certain type of Curve factory pool is encountering read-only reentrancy attack and causing a total loss of $11m(@JPEGd_69) + $13m(@AlchemixFi) + ...
— Tony KΞ (@tonyke_bot) July 30, 2023
Initial investigation founds that vyper compiler (0.2.15) doesn't implement the reentrancy guard correctly.
add_liquidity and… pic.twitter.com/avaHdtSFsm
Cierto tipo de pool de fábrica de Curve se está encontrando con un ataque de reentrada de solo lectura y causando una pérdida total de USD 11m(@JPEGd_69) + USD 13m(@AlchemixFi) + ...
La investigación inicial encontró que el compilador vyper (0.2.15) no implementa la guardia de reentrada correctamente.
add_liquidity y...
El exploit desató el pánico en todo el ecosistema DeFi, provocando una oleada de transacciones en todos los pools y una operación de rescate por parte de los "white hats" [hackers éticos]. Los datos de CoinMarketCap muestran que el token de Curve Finance Curve DAO (CRV) cayó más de un 5% como reacción a la noticia. La liquidez de CRV ha disminuido significativamente en los últimos meses, lo que la hace vulnerable a violentas oscilaciones de precios, informó Cointelegraph. Según Curve Finance, los contratos crvUSD y cualquier fondo común con él no se vieron afectados por el ataque.
The exploit sparked panic across the DeFi ecosystem, prompting a wave of transactions across pools and a rescue operation from white hats. Data from CoinMarketCap shows Curve Finance's utility token Curve DAO (CRV) declining over 5% in reaction to the news. CRV's liquidity has declined significantly in recent months, making it vulnerable to violent price swings, Cointelegraph reported. According to Curve Finance, crvUSD contracts and any pools with it were not affected by the attack.
Curve Finance es un protocolo DeFi que permite los exchanges descentralizados (DEX) de stablecoins dentro de Ethereum. El protocolo ha sido objeto de una serie de incidentes dentro de su ecosistema. Hace sólo unos días, su plataforma omnipool Conic Finance fue explotada por USD 3.26 millones en Ether (ETH), con casi toda la cantidad robada enviada a una nueva dirección Ethereum en una sola transacción.
Los protocolos DeFi han sido objeto de múltiples ataques en los últimos meses. Según un informe de la aplicación de portafolios Web3 De.Fi, sólo en el segundo trimestre de 2023 se robaron más de USD 204 millones a través de hackeos y estafas de DeFi.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión