Újabb DeFi hackertámadás, ezúttal a Curve Finance az áldozat
A július 30-án véghez vitt hackertámadás során ezúttal a CRV tokent vették célba a hackerek. A token ára pillanatok alatt 0,70 dollárról 0,10 dollárra csökkent.
A jelenleg rendelkezésre álló fejlemények szerint a CRV/ETH pool-t megtámadó hacker 7 millió CRV-t és 14 millió dollárnyi WETH-ot lopott el.
A Curve Finance nem sokkal a támadás után kiadott egy közleményt, amelyben ezt írták:
„Számos stabilpool (alETH/msETH/pETH), amely a Vyper 0.2.15-öt használja, meg lett hackelve egy rosszul működő „reentrancy lock” miatt. Még vizsgáljuk a helyzetet, és a fejleményekről folyamatosan tájékoztatni fogjuk a közösséget. A többi pool biztonságban van.”
A reentrancy egy gyakori hiba, amely lehetővé teszi a támadók számára, hogy egy okosszerződést úgy csapjanak be, hogy sokszor megismételve hívnak meg egy protokollt, hogy eszközöket lopjanak el. A hívás az okosszerződés címének felhatalmazása arra, hogy interakcióba lépjen a felhasználó tárcájának címével.
Más, a Vyper programozási nyelvet használó projektekben is előfordulhat ugyanez a sebezhetőség.
A Curve a honlapja szerint 232 különböző poolt üzemeltet, de csak a Vyper 0.2.15, 0.2.16 és 0.3.0 verziókat használó poolok vannak veszélyben, mondta mimaklas, a csapat egyik tagja egy Discord-bejegyzésben.
A CRV token árfolyama is megsínylette a hackertámadást
A megszerzett információk szerint a hackerek teljesen kiürítették a megtámadott pool-okat.
Az egyik megtámadott platform, az Alchemix ezt közölte:
„Egy hacker megcsapolta az alETH/ETH curve pool-t a tranzakció sorba állításának folyamata során, hogy kivonja a fennmaradó likviditást. Ennek eredményeképpen elveszett az alETH-t támogató mintegy 5000 ETH „.
A támadás után a CRV árfolyama azonnal 0,10 dollárt esett be, de a cikk írásakor 0,636 dolláron kereskednek vele, ezzel az árfolyam 13%-kal van lejjebb az elmúlt 24 órában.
A Curve Finance hackelését végrehajtó személy azonnal üzent az áldozatainak, mégpedig úgy, hogy az általa végrehajtott blokklánc tranzakcióhoz egy megjegyzést fűzött. A hacker ebben közölte, hogy egyelőre hideg tárcákba helyezte át az ellopott eszközöket, és az érintett protokollok üzemeltetői az etherscan chat szekciójában léphetnek kapcsolatba vele. Sokan úgy gondolják, hogy a hacker alkut szeretne kötni az érintett protokollokkal.