Curve Finance TVL теряет более 1 миллиарда долларов из-за эксплойта Vyper

После атаки токен CRV Curve стал очень нестабильным, что вызвало опасения заражения.

Согласно данным DeFiLlama, общая стоимость активов, заблокированных в децентрализованном финансовом соглашении Curve Finance (CRV), за последние 24 часа упала почти на 50% с 3,26 млрд долларов, зафиксированных 30 июля, до 1,731 млрд долларов.

Отток средств можно объяснить эксплуатацией протокола, что усилило опасения по поводу ликвидации и безнадежных долгов среди членов сообщества, которые немедленно вывели активы из криптопроекта.

Источник: Дефиллама

Уязвимость Vyper влияет на Curve Finance

30 июля в нескольких версиях языка смарт-контрактов виртуальной машины Ethereum (ETH) Vyper была обнаружена ошибочная «уязвимость блокировки повторного входа». Язык программирования подтвердил инцидент, показав, что криптопроекты, использующие Vyper 0.2.15, 0.2.16 и 0.3.0, могут быть затронуты.

После этой новости Curve Finance заявила, что некоторые из ее стабильных майнинговых пулов, работающих под управлением Vyper 0.2.15, использовали уязвимость сбоя блокировки повторного входа.

Атака с повторным входом позволяет злоумышленнику слить средства из уязвимого контракта, неоднократно вызывая функцию вывода средств перед обновлением баланса, и эта атака обычно используется для использования нескольких протоколов DeFi.

Фирма по безопасности блокчейна BlockSec заявила, что атаки с повторным входом могут представлять потенциальный риск для всех пулов майнинга с обернутым эфиром (WETH).

Хотя неясно, сколько было украдено из пула стейблкоинов Curve Finance, по некоторым оценкам, могло быть украдено до 70 миллионов долларов.

Тем не менее, разработчик MetaMask Тейлор Монахан указал на «много активности в белых шляпах + автоматических ботов MEV», что означает, что их может быть меньше.

Ценовой бак CRV

Согласно данным, ошибка привела к тому, что токен CRV Curve стал очень волатильным, и на момент написания его цена упала примерно на 15% до 0,64707 доллара.

Между тем, стоимость CRV в сети упала до минимума в 0,109 доллара, поскольку ликвидность сократилась после атаки на пул CRV/ETH.

Южнокорейская криптовалютная биржа Upbit приостановила ввод и вывод токена, сославшись на баг, обнаруженный на платформе проекта DeFi. Биржа также предупредила, что цена CRV «испытывает значительную волатильность».

** Безнадежные долги и проблемы с разрастанием **

Поскольку хакеры держат большое количество CRV, есть опасения, что, если они начнут продавать, цена токена может упасть еще больше. Это создает риск заражения, поскольку основатель Curve Михаил Егоров использует токен в качестве залога по нескольким протоколам кредитования, включая Aave.

Поскольку у Егорова более 100 миллионов долларов в CRV в качестве залога по Aave, Inverse и Abracadabra, ликвидация в результате падения цен на CRV повлияет на Curve и все протоколы.

Чтобы избежать ликвидации, Егоров погасил часть кредита. Однако это может не предотвратить безнадежную задолженность и побочные эффекты для других кредитных соглашений, которым подвергается Curve.

В то же время версия Aave Ethereum v2 закрыла функцию кредитования CRV. Согласно сообщениям, это, вероятно, помешает трейдерам использовать уязвимость Curve для паники и злонамеренного короткого замыкания заимствованного CRV для последовательной ликвидации.