Varios equipos que bifurcaron el código de Curve Finance ahora están informando de exploits después de que un atacante descubriera una vulnerabilidad en un antiguo compilador en el lenguaje de programación Vyper.
Curve Finance es un exchange descentralizado para intercambios estables entre stablecoins y tokens cripto como Ethereum y Wrapped Ethereum (WETH).
La plataforma fue explotada el domingo por un estimado de $52 millones.
Además del daño causado a Curve en sí, el hackeo expuso una vulnerabilidad crítica en el ecosistema más amplio de DeFi, afectando específicamente a contratos inteligentes construidos utilizando ciertas versiones del lenguaje de programación Vyper.
Esto ha tenido efectos secundarios dado lo frecuente que se utiliza Vyper en varios proyectos de criptomonedas, aunque mucho menos que Solidity, según Michael Lewellan, jefe de arquitectura de soluciones de OpenZeppelin, dijo Decrypt.
Según un tweet del equipo de Vyper, los contratos desarrollados con las versiones 0.2.15, 0.2.16 y 0.3.0 de Vyper actualmente son "vulnerables a bloqueos de reentrancia defectuosos".
PSA: Vyper versions 0.2.15, 0.2.16 and 0.3.0 are vulnerable to malfunctioning reentrancy locks. The investigation is ongoing but any project relying on these versions should immediately reach out to us.
— Vyper (@vyperlang) July 30, 2023
El equipo insta enérgicamente a los desarrolladores de otras dApps basadas en Vyper a "abordar de inmediato" este problema. "Este no fue un problema en los protocolos o en el código de las dapps, sino un problema en Vyper en sí mismo, que es un lenguaje EVM minoritario, pero que ha existido durante mucho tiempo", dijo Gustavo González, desarrollador de soluciones en Open Zeppelin, a Decrypt.
El desarrollador de Vyper, Mr doggo, sospecha la participación de "hackers patrocinados por el estado" basándose en el nivel de recursos, tiempo y experiencia utilizados para ejecutar el hackeo y exponer la vulnerabilidad en los contratos inteligentes de Curve.
Un investigador de seguridad independiente, dijo a Decrypt que los contratos inteligentes de Vyper "podrían ser vulnerables si se cumplen dos condiciones".
Primero, el contrato se construye utilizando Vyper versión 0.2.15. Segundo, no se implementan salvaguardias adecuadas para agregar y eliminar liquidez en el código.
Certain type of Curve factory pool is encountering read-only reentrancy attack and causing a total loss of $11m(@JPEGd_69) + $13m(@AlchemixFi) + ...
Initial investigation founds that vyper compiler (0.2.15) doesn't implement the reentrancy guard correctly.
add_liquidity and… pic.twitter.com/avaHdtSFsm
— Tony KΞ (@tonyke_bot) July 30, 2023
Otro problema que pudo haber acelerado el daño de la explotación fue que los detalles del error se publicaron en Twitter antes de que se mitigara la explotación.
Esto llevó a "algunas críticas debido a que esta información podría ser utilizada para ataques adicionales", dijo Lewellan a Decrypt. "Existen preocupaciones en la comunidad de seguridad de ETH de que la comunicación de errores debe ser más discreta".
Los forks de Curve informan explotaciones
También están surgiendo forks del protocolo Curve en otras cadenas con informes de explotaciones similares.
Ellipsis Finance, un fork autorizado de Curve con $6,5 millones en depósitos totales, según datos de DeFiLlama aquí, tuiteó esta mañana que se explotaron "un pequeño número de stablepools con BNB".
A small number of stablepools with BNB using an old Vyper compiler have been exploited.
We are assessing the situation and will update the community on any further findings. https://t.co/pxkhRRSr5w
— Ellipsis (@Ellipsisfi) July 30, 2023
El equipo de Curve Finance también dijo que el pool Tricrypto, compuesto por USDT, WBTC y ETH, en la implementación de Curve en la solución de capa 2 Arbitrum también estaba "potencialmente afectado" pero aún no explotado.
Auxo DAO, un fondo de yield farming descentralizado con depósitos totales por valor de $5,4 millones, decidió retirar liquidez de los pools de Curve y Convex Finance para "mitigar los riesgos de contagio".
To mitigate contagion risks all positions have been promptly removed from Curve / Convex until further notice.
The treasury exposure to the @AlchemixFi alETH/ETH pool is 429.6 ETH. We are monitoring the situation, more information soon. https://t.co/wewmvWavwM
— Auxo (@AuxoDAO) July 30, 2023
Convex Finance es una aplicación DeFi que ofrece estrategias de optimización de rendimiento para los tokens CRV de Curve con depósitos totales por valor de $1,382 mil millones, según datos de DefiLlama. Su liquidez ha caído un 52,5% desde $2.91 mil millones desde ayer después de la explotación de Curve.
Tiene 298,3 millones de tokens CRV, según un panel de Dune, que representa un tercio del suministro circulante de CRV.
Por lo general, para ganar comisiones y recompensas de staking de Curve, los usuarios deben bloquear los tokens CRV durante hasta cuatro años.
Sin embargo, Convex evita el período de bloqueo emitiendo un derivado cvxCRV para retener liquidez y permite el bloqueo de tokens CRV para ganar comisiones de negociación y reclamar CRVs sin bloquear los tokens.