Новости Эксперт: взлом Curve — мелкий инцидент в сравнении с действиями SEC

[CryptoWatcher]

---

30 июля злоумышленники, используя уязвимость в компиляторе Vyper, взломали ряд пулов ликвидности децентрализованной биржи Curve Finance и Для просмотра ссылки Войди или Зарегистрируйся в различных токенах. Из-за наличия бага под угрозой в момент инцидента оказалось более 450 пулов. ForkLog обсудил кейс с экспертами.

Что случилось?Согласно Для просмотра ссылки Войди или Зарегистрируйся Llama Risk, причиной хака Curve Finance стала неисправная блокировка повторного входа в определенных версиях компилятора Vyper.



«Контракты Curve становились уязвимыми при вызове функции raw_call для отправки нативных токенов. Каждый затронутый пул Curve использовал одну из проблемных версий Vyper и содержал пары с нативным ETH. Пулы в паре с WETH не пострадали», — отметили специалисты.

---

---

Как объяснили ForkLog представители аналитической компании Crystal Blockchain, уязвимость позволяла злоумышленникам создавать смарт-контракты, которые могли совершать транзакции без авторизации пользователя.

Инцидент Для просмотра ссылки Войди или Зарегистрируйся Alchemix, JPEG’d, MetronomeDAO, Ellipsis и deBridge.

Наиболее пострадали следующие пулы:

• pETH/ETH, ущерб составил 6106,65 WETH (~$11 млн);
• msETH/ETH — 866,55 WETH (~$1,6 млн) и 959,71 msETH (~$1,8 млн);
• alETH/ETH — 7258,7 WETH (~$13,6 млн) и 4821,55 alETH (~$9 млн);
• CRV/ETH — 7 193 401,77 CRV (~$5,1 млн на момент инцидента), 7680,49 WETH (~$14,2 млн) и 2879,65 ETH (~$5,4 млн).

Также потенциально мог быть затронут пул Arbitrum Tri-Crypto. Аудиторы и разработчики Vyper не смогли подтвердить наличие эксплойта, однако команда Curve советовала провайдерам ликвидности выйти из него в качестве меры предосторожности.Несмотря на невозможность экстренными Для просмотра ссылки Войди или Зарегистрируйся-мерами остановить пул или каким-либо образом повлиять на средства пользователей, удалось заморозить эмиссию дополнительных CRV.

Твиты, усугубившие инцидентВ первые минуты после взлома аналитики из BlockSec и PeckShieldAlert опубликовали в соцсети X (бывшая Twitter) выдержки из открытого кода компилятора Vyper с указанием на детали уязвимости. Такие действия встретили резкое осуждение сообщества, после чего исходные посты были удалены.

---

---

По словам руководителя отдела аналитики и исследований HAPI Labs Марка Лецюка, твиты BlockSec и PeckShield дали сторонним хакерам возможность «присоединиться ко взлому» и усугубили ситуацию.



«Пока идет инцидент, такого делать категорически нельзя, тем более ради дешевого пиара. Они должны сообщать о деталях атаки проекту напрямую или связываться с теми, кто до сих пор работает на уязвимой версии компилятора», — объяснил он.Лецюк добавил, что пулы были атакованы Для просмотра ссылки Войди или Зарегистрируйся. Впрочем, среди них были и «белые» хакеры, благодаря которым проекту удалось вернуть часть похищенных средств. В частности, 2879,65 ETH (~$5,4 млн), похищенные c0ffeebabe.eth из пула CRV/ETH, уже возвращены команде Curve Finance.После волны критики представители BlockSec Для просмотра ссылки Войди или Зарегистрируйся, что при публикации твита с деталями атаки руководствовались необходимостью максимально оперативно предупредить сообщество, поскольку команда Curve Finance не была на связи.

Влияние на DeFi-секторНа момент инцидента Для просмотра ссылки Войди или Зарегистрируйся использовали версии компилятора Vyper с уязвимостью, поэтому число жертв и сумма убытков могли оказаться в разы больше, заявили эксперты HAPI Labs. Такая ситуация, по их словам, потенциально вызвала бы беспрецедентную панику и снижение ликвидности во всем DeFi-сегменте.

Сейчас проблема с компилятором Для просмотра ссылки Войди или Зарегистрируйся. Разработчики уточнили, что злоумышленнику пришлось «глубоко копаться» в истории версий, чтобы отыскать эту не самую очевидную проблему.DeFi-исследователь под ником Ignas в комментарии Для просмотра ссылки Войди или Зарегистрируйся заявил, что инцидент с Curve Finance «подорвал доверие к децентрализованным финансам».



«Если протокол, который без проблем работал в течение трех лет, страдает из-за эксплойта, возникает вопрос, насколько безопасны другие “голубые фишки” вроде Aave, Compound или даже Uniswap. Есть огромные риски в случае взлома Uniswap v4 с его монолитным дизайном смарт-контрактов, поскольку все активы будут мгновенно уязвимы», — сказал он.Ignas также отметил, что ряд протоколов, чьи синтетические активы зависят от ликвидности токена CRV, могут оказаться в долгах перед пользователями. В частности, он упомянул ликвидацию Aave, Frax и Abracadabra на сумму $100 млн после атаки.

По его мнению, инцидент может затормозить институциональное принятие DeFi.

Вместе с тем соучредитель MakerDAO Руне Кристенсен Для просмотра ссылки Войди или Зарегистрируйся, что эксплойт Curve Finance станет «последним крахом» перед новым ростом криптовалютного рынка.C ним Для просмотра ссылки Войди или Зарегистрируйся основатель Nostra Дэвид Гарай:



«Это также может стать поворотным моментом, когда протоколы кредитования наконец начнут упреждающий мониторинг ликвидности в сети для каждого встроенного типа залога».В свою очередь CEO Indefibank Сергей Менделеев в комментарии ForkLog указал на незначительность взлома для рынка децентрализованных финансов.



«Curve Finance — крупный протокол, который компенсирует все потери, и пользователи в итоге не заметят ничего. Я бы вообще не обращал внимания на этот мелкий инцидент. Действия SEC и европейских регуляторов несут существенно большую угрозу для крипторынка и DeFi в частности», — заявил эксперт.Ранее Forklog сообщал, что принадлежащий сооснователю Tron Джастину Сану кошелек Для просмотра ссылки Войди или Зарегистрируйся и переслал их главе DeFi-протокола Curve Finance Михаилу Егорову взамен на 5 млн CRV (~$2,9 млн по курсу на момент написания).Напомним, в течение июля криптовалютные трейдеры потеряли цифровые активы Для просмотра ссылки Войди или Зарегистрируйся в результате эксплойтов и хакерских атак.