Curve Finance TVL втрачає понад 1 мільярд доларів через експлойт Vyper

Після атаки токен CRV від Curve став дуже мінливим, що викликало побоювання зараження.

Згідно з даними DeFiLlama, загальна вартість активів, заблокованих у децентралізованому фінансовому протоколі Curve Finance (CRV), за останні 24 години впала майже на 50% з 3,26 мільярда доларів, зафіксованих 30 липня, до 1,731 мільярда доларів.

Відтік коштів можна пояснити використанням протоколу, що посилило занепокоєння щодо ліквідації та безнадійних боргів серед членів спільноти, які негайно вивели активи з криптопроекту.

Джерело: DefiLlama

Вразливість Vyper впливає на Curve Finance

30 липня в кількох версіях Vyper мови смарт-контрактів віртуальної машини Ethereum (ETH) (EVM) було виявлено несправну «вразливість блокування повторного входу». Мова програмування підтвердила інцидент, показавши, що криптопроекти під керуванням Vyper 0.2.15, 0.2.16 і 0.3.0 можуть постраждати.

Після цієї новини Curve Finance заявила, що деякі з її стабільних пулів майнінгу, які працюють під керуванням Vyper 0.2.15, використовували вразливість блокування повторного доступу.

Атака повторного входу дозволяє зловмиснику вичерпати кошти з уразливого контракту, багаторазово викликаючи функцію виведення перед оновленням балансу, і ця атака зазвичай використовується для використання кількох протоколів DeFi.

Фірма безпеки блокчейнів BlockSec заявила, що атаки повторного входу можуть становити потенційний ризик для всіх пулів майнінгу з загорнутим ефіром (WETH).

Хоча незрозуміло, скільки було вкрадено з пулу стейблкойнів Curve Finance, за деякими оцінками, можливо, було вкрадено 70 мільйонів доларів.

Однак розробник MetaMask Тейлор Монахан вказав на «багато активності білих капелюхів + автоматизованих ботів MEV», що означає, що їх може бути менше.

CRV Price Tank

Згідно з даними, помилка призвела до високої волатильності токена Curve CRV, його ціна різко впала приблизно на 15% до 0,64707 доларів на момент написання.

Тим часом вартість CRV у ланцюжку впала до мінімуму в $0,109, оскільки ліквідність скоротилася після атаки на пул CRV/ETH.

Південнокорейська криптовалютна біржа Upbit призупинила депозити та виведення токена, посилаючись на помилку, виявлену на платформі проекту DeFi. Біржа також попередила, що ціна CRV «зазнає значної волатильності».

Погана заборгованість і проблеми розповсюдження

Оскільки хакери зберігають велику кількість CRV, є побоювання, що якщо вони почнуть продавати, ціна токена може впасти ще більше. Це створює ризик зараження, оскільки засновник Curve Майкл Єгоров використовує токен як заставу в кількох протоколах кредитування, включаючи Aave.

Оскільки Єгоров має понад 100 мільйонів доларів у CRV як заставу на Aave, Inverse та Abracadabra, ліквідація внаслідок падіння цін на CRV вплине на Curve та всі протоколи.

Щоб уникнути ліквідації, Єгоров погашав частину кредиту. Однак це не може запобігти безнадійним боргам і побічним ефектам для інших кредитних угод, яким загрожує Curve.

У той же час версія Aave Ethereum v2 закрила функцію кредитування CRV. Згідно з повідомленнями, це, ймовірно, завадить трейдерам використовувати вразливість Curve для паніки та зловмисного скорочення запозиченого CRV для сприяння серійній ліквідації.