CurveFinance пережила не очень приятный момент. Вследствие атаки злоумышленник получил контроль над активами общей стоимостью в $24 млн. Теперь компания пытается смягчить последствия после отключения затронутых пулов.
CurveFinance: что случилось?
Экосистема децентрализованных финансов (DeFi) подверглась значительному удару. В Вс 30 июля 2023 года хакер взломал Curve Finance. Злоумышленник воспользовался уязвимостью в компиляторе Vyper, похитив более 24 миллионов долларов.
Vyper – язык программирования смарт-контрактов. Он широко используется в различных протоколах DeFi. И включает блокировку повторного входа, чтобы остановить несанкционированный вывод средств из смарт-контрактов. К сожалению, ошибка в этой функции безопасности позволила хакеру использовать пул обмена Curve Finance для авторизации вывода средств.
Злоумышленник осуществил серию транзакций, которые обманули пул подкачки. Его заставили поверить, что он все еще взаимодействует. А это позволило обойти ожидание завершения транзакции. Протоколы, включая Alchemix, MetronomeDAO и JPEG, также были затронуты, что привело к общему падению цен на токены CRV в долларах и пошатнуло уверенность в безопасности протокола DeFi. По данным CoinMarketCap, токен CRV в настоящее время снизился на 15%.
Оперативный ответ команды Curve Finance заключался в отключении затронутых пулов и начале исправления уязвимости Vyper. Они активно общались с Coffeebabe.eth, планируя перевести использованные средства в холодное хранилище и возместить ущерб заинтересованным сторонам.
Инцидент подчеркивает уязвимости в протоколах DeFi. Поэтому так важна тщательная разработка смарт-контрактов и повышение осведомленности пользователей о потенциальных рисках при использовании DeFi. Пока что ситуация вроде бы под контролем. Но нужно продолжать следить за тем, как будут развиваться события дальше.
