30 июля злоумышленники, используя уязвимость в компиляторе Vyper, взломали ряд пулов ликвидности децентрализованной биржи Curve Finance и похитили более $50 млн в различных токенах. Из-за наличия бага под угрозой в момент инцидента оказалось более 450 пулов. ForkLog обсудил кейс с экспертами.
Что случилось?
Согласно отчету Llama Risk, причиной хака Curve Finance стала неисправная блокировка повторного входа в определенных версиях компилятора Vyper.
«Контракты Curve становились уязвимыми при вызове функции raw_call для отправки нативных токенов. Каждый затронутый пул Curve использовал одну из проблемных версий Vyper и содержал пары с нативным ETH. Пулы в паре с WETH не пострадали», — отметили специалисты.
Как объяснили ForkLog представители аналитической компании Crystal Blockchain, уязвимость позволяла злоумышленникам создавать смарт-контракты, которые могли совершать транзакции без авторизации пользователя.
Инцидент затронул проекты Alchemix, JPEG’d, MetronomeDAO, Ellipsis и deBridge.
Наиболее пострадали следующие пулы:
- pETH/ETH, ущерб составил 6106,65 WETH (~$11 млн);
- msETH/ETH — 866,55 WETH (~$1,6 млн) и 959,71 msETH (~$1,8 млн);
- alETH/ETH — 7258,7 WETH (~$13,6 млн) и 4821,55 alETH (~$9 млн);
- CRV/ETH — 7 193 401,77 CRV (~$5,1 млн на момент инцидента), 7680,49 WETH (~$14,2 млн) и 2879,65 ETH (~$5,4 млн).
Также потенциально мог быть затронут пул Arbitrum Tri-Crypto. Аудиторы и разработчики Vyper не смогли подтвердить наличие эксплойта, однако команда Curve советовала провайдерам ликвидности выйти из него в качестве меры предосторожности.
Несмотря на невозможность экстренными ДАО-мерами остановить пул или каким-либо образом повлиять на средства пользователей, удалось заморозить эмиссию дополнительных CRV.
Твиты, усугубившие инцидент
В первые минуты после взлома аналитики из BlockSec и PeckShieldAlert опубликовали в соцсети X (бывшая Twitter) выдержки из открытого кода компилятора Vyper с указанием на детали уязвимости. Такие действия встретили резкое осуждение сообщества, после чего исходные посты были удалены.
По словам руководителя отдела аналитики и исследований HAPI Labs Марка Лецюка, твиты BlockSec и PeckShield дали сторонним хакерам возможность «присоединиться ко взлому» и усугубили ситуацию.
«Пока идет инцидент, такого делать категорически нельзя, тем более ради дешевого пиара. Они должны сообщать о деталях атаки проекту напрямую или связываться с теми, кто до сих пор работает на уязвимой версии компилятора», — объяснил он.
Лецюк добавил, что пулы были атакованы несколькими независимыми взломщиками. Впрочем, среди них были и «белые» хакеры, благодаря которым проекту удалось вернуть часть похищенных средств. В частности, 2879,65 ETH (~$5,4 млн), похищенные c0ffeebabe.eth из пула CRV/ETH, уже возвращены команде Curve Finance.
После волны критики представители BlockSec ответили, что при публикации твита с деталями атаки руководствовались необходимостью максимально оперативно предупредить сообщество, поскольку команда Curve Finance не была на связи.
Влияние на DeFi-сектор
На момент инцидента более 450 пулов ликвидности использовали версии компилятора Vyper с уязвимостью, поэтому число жертв и сумма убытков могли оказаться в разы больше, заявили эксперты HAPI Labs. Такая ситуация, по их словам, потенциально вызвала бы беспрецедентную панику и снижение ликвидности во всем DeFi-сегменте.
Сейчас проблема с компилятором решена. Разработчики уточнили, что злоумышленнику пришлось «глубоко копаться» в истории версий, чтобы отыскать эту не самую очевидную проблему.
DeFi-исследователь под ником Ignas в комментарии The Block заявил, что инцидент с Curve Finance «подорвал доверие к децентрализованным финансам».
«Если протокол, который без проблем работал в течение трех лет, страдает из-за эксплойта, возникает вопрос, насколько безопасны другие “голубые фишки” вроде Aave, Compound или даже Uniswap. Есть огромные риски в случае взлома Uniswap v4 с его монолитным дизайном смарт-контрактов, поскольку все активы будут мгновенно уязвимы», — сказал он.
Ignas также отметил, что ряд протоколов, чьи синтетические активы зависят от ликвидности токена CRV, могут оказаться в долгах перед пользователями. В частности, он упомянул ликвидацию Aave, Frax и Abracadabra на сумму $100 млн после атаки.
По его мнению, инцидент может затормозить институциональное принятие DeFi.
Вместе с тем соучредитель MakerDAO Руне Кристенсен считает, что эксплойт Curve Finance станет «последним крахом» перед новым ростом криптовалютного рынка.
C ним согласен основатель Nostra Дэвид Гарай:
«Это также может стать поворотным моментом, когда протоколы кредитования наконец начнут упреждающий мониторинг ликвидности в сети для каждого встроенного типа залога».
В свою очередь CEO Indefibank Сергей Менделеев в комментарии ForkLog указал на незначительность взлома для рынка децентрализованных финансов.
«Curve Finance — крупный протокол, который компенсирует все потери, и пользователи в итоге не заметят ничего. Я бы вообще не обращал внимания на этот мелкий инцидент. Действия SEC и европейских регуляторов несут существенно большую угрозу для крипторынка и DeFi в частности», — заявил эксперт.
Ранее Forklog сообщал, что принадлежащий сооснователю Tron Джастину Сану кошелек вывел 2 млн USDT из сети Aave и переслал их главе DeFi-протокола Curve Finance Михаилу Егорову взамен на 5 млн CRV (~$2,9 млн по курсу на момент написания).
Напомним, в течение июля криптовалютные трейдеры потеряли цифровые активы на сумму $303 млн в результате эксплойтов и хакерских атак.