Panika w sektorze DeFi. Krytyczna luka jednego z protokołów i exploit na miliony dolarów

31 lipca 2023 10:12

31 LIPCA 2023 10:12

Curve – kluczowe miejsce dla stablecoinów w ekosystemie zdecentralizowanego finansowania (DeFi) padło ofiarą ataku, który przyniósł olbrzymie straty.

Według oficjalnych informacji – z powodu błędu o nazwie ,,re-entrancy” w Vyper – zagrożone jest ponad 100 milionów dolarów!

Problemy Curve Finance

Curve Finance to protokół DeFi, który umożliwia zdecentralizowaną wymianę stablecoinów w Ethereum. Protokół ten stał się celem serii incydentów w swoim ekosystemie. Kilka dni temu platforma omnipool Conic Finance została wykorzystana do wyłudzenia 3,26 miliona dolarów w Etherze, a prawie cała skradziona kwota została wysłana na nowy adres Ethereum w ramach jednej transakcji.

Inne projekty DeFi także są zagrożone

Niestety inne projekty, które wykorzystują język programowania Vyper, mogą być podatne na ten sam błąd, a co za tym idzie – na utratę kapitału. Na razie nie jest jasne, ile środków zostało wykradzionych z Curve na skutek obecnego ataku. Warto jednak przytoczyć działanie firmy BlockSec, która specjalizuje się w audycie blockchaina i wstępnie oszacowała, że skradziono ponad 42 miliony dolarów.

Jak wiadomo, Curve obsługuje 232 różne pule, ale tylko te, które korzystają z wersji Vyper 0.2.15, 0.2.16 i 0.3.0 są zagrożone.

– przekazał użytkownik Twittera Mimaklas, będący członkiem zespołu.

Niepokój na rynku i kopie ataku

Najnowszy atak z pewnością zdestabilizował rynki dla tokena Curve DAO (CRV). W ciągu doby odnotowano jego spadek o 17%. Powyższa zmiana cen mogła zaostrzyć chaos, który doprowadził prawdopodobnie do zlikwidowania pozycji pożyczkowej założyciela Curve, wynoszącej 70 milionów dolarów, na Aave. Ponadto trzeba wskazać, że chociaż większość ataków skierowana jest na protokoły oparte na Ethereum, to blockchain BNB Smart Chain doświadczył również podobnych kopii ataku.

Wykres przedstawia kurs CRV/USD. Źródło: TradingView.com

Kolejne ataki na BNB Smart Chain

BNB Smart Chain (BSC) rzekomo doświadczył analogicznych ataków wynikających z błędów w języku programowania Vyper. BlockSec poinformowała 30 lipca, że około 73 tys. dolarów w kryptowalutach na BSC zostało skradzionych w wyniku trzech eksploatacji.

Wpływ ataku na projekty zdecentralizowane

Szereg innych projektów finansowych opartych na decentralizacji ucierpiało na skutek ataku. Przykładowo, giełda Ellipsis poinformowała, że niewielka liczba stabilnych puli z BNB została wykorzystana przy użyciu starego kompilatora Vyper. Z puli alETH-ETH Alchemix zanotowano przepływ 13,6 miliona dolarów, dodatkowo z puli pETH-ETH JPEGd wykorzystano 11,4 miliona dolarów, a z puli sETH-ETH Metronome – 1,6 miliona dolarów. Dyrektor generalny Curve Finance – Michael Egorov – potwierdził później, że z puli wymiany zostało wypompowane 32 miliony tokenów CRV o wartości ponad 22 milionów dolarów.

Reakcja rynku na wieści o ataku

Atak wywołał panikę w całym ekosystemie DeFi, co spowodowało falę transakcji na różnych pulach i operację ratunkową tzw. białych kapeluszy (hakerów wspierających zespoły protokołów zawierających błędy w swoim kodzie). Płynność CRV znacznie spadła w ostatnich miesiącach, co sprawia, że jest ona podatna na gwałtowne wahania cen. Według Curve Finance, kontrakty crvUSD i wszelkie pule z nimi związane – nie były dotknięte atakiem.

Nagrody za ekstrakcję

Według raportu aplikacji portfolio Web3, De.Fi, w samym drugim kwartale 2023 roku przez ataki i oszustwa na DeFi ukradziono ponad 204 miliony dolarów! Niedawny atak na Curve Finance prawdopodobnie doprowadził do jednego z największych bloków nagród za ekstrakcję wartości (MEV) w historii, wynoszącej 584,05 Etherów (ETH).

Today has produced some of the largest MEV reward blocks in Ethereum’s history.

Slot 6,992,273: 584 ETH
Slot 6,993,342: 345 ETH
Slot 6,992,050: 247 ETH
Slot 6,993,346: 51 ETH

— eric.eth (@econoar) July 30, 2023

MEV to mechanizm, który pozwala na generowanie dodatkowych dochodów poprzez zmianę kolejności lub wprowadzanie transakcji do zwykłego bloku w celu generowania możliwości arbitrażowych.

Przyszłość DeFi

Powyższe zdarzenia, jak i dotychczasowa historia ataków na DeFi, pokazuje, że ten sektor z pewnością wymaga objęcia go jakimkolwiek nadzorem, bądź zaangażowaniem ze strony najlepszych specjalistów z branży cyberbezpieczeństwa. Notoryczne ataki hakerskie, ogromne straty i brak czyjejkolwiek odpowiedzialności z pewnością nie pomaga branży w krypto w obecnych czasach zyskać na wiarygodności. Można śmiało stwierdzić, że DeFi jest zagrożone i to od twórców zależy, czy sprowadzą go na właściwe tory.