Altcoin dünyasında yine bir hack haberiyle karşınızdayız. Curve Finance üzerinde Vyper kullanan birkaç stable havuz 30 Temmuz’da hacklendi. Vyper’ın 0.2.15, 0.2.16 ve 0.3.0 sürümleri hatalı reentrancy kilitlerine karşı savunmasızdır.
Altcoin için analiz sonuçları ne diyor?
Güvenlik firması Ancilia tarafından etkilenen sözleşmeler üzerinde yapılan bir analiz var. Buna göre, 136 sözleşmede reentrant korumalı Vyper 0.2.15, 98 sözleşmede Vyper 0.2.16 ve 226 sözleşmede Vyper 0.3.0 kullanıldı.
A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.
Other pools are safe. https://t.co/eWy2d3cDDj
— Curve Finance (@CurveFinance) July 30, 2023
İlk incelemeye göre, Vyper derleyicisinin bazı sürümleri, bir sözleşmeyi kilitleyerek birden fazla işlevin aynı anda yürütülmesini engelleyen reentrancy korumasını doğru şekilde uygulamamaktadır. Reentrancy saldırıları potansiyel olarak bir sözleşmedeki tüm fonları tüketiyor. Reentrancy saldırısı, blockchain teknolojisi ve özellikle Ethereum platformu üzerinde çalışan smart contractlerde meydana gelebilecek bir güvenlik açığıdır.
Vyper nedir?
Vyper, altcoin Ethereum Sanal Makinesini (EVM) hedefleyen sözleşme odaklı, Pyhton odaklı bir programlama dilidir. Vyper’ın Python’a benzerliği, bu dili Python geliştiricilerinin Web3’e atlamaları için başlangıç noktalarından biri haline getirmektedir. Saldırıda bir dizi merkezi olmayan finans projesi hedefteydi. Merkezi olmayan borsa Ellipsis açıklama yaptı. Buna göre BNB’li az sayıda stable havuzun eski bir Vyper derleyicisi kullanılarak hacklendiğini bildirdi.
Altcoin Alchemix’in alETH-ETH havuzundan 13,6 milyon dolar çıktı. Ayrıca JPEGd’nin pETH-ETH havuzundan 11,4 milyon dolar ve Metronome’un sETH-ETH havuzundan 1,6 milyon dolar çıktı. Altcoin Curving Finance CEO’su Michael Egorov daha sonra bir Telegram kanalında açıklama yaptı. Buna göre 22 milyon doların üzerinde değere sahip 32 milyon altcoin CRV takas havuzundan boşaltıldığını doğruladı.
Certain type of Curve factory pool is encountering read-only reentrancy attack and causing a total loss of $11m(@JPEGd_69) + $13m(@AlchemixFi) + …
Initial investigation founds that vyper compiler (0.2.15) doesn’t implement the reentrancy guard correctly.
add_liquidity and… pic.twitter.com/avaHdtSFsm
— Tony KΞ (@tonyke_bot) July 30, 2023
Kurtarma operasyonu
Bu istismar DeFi ekosisteminde paniğe yol açtı. Ayrıca havuzlar arasında bir işlem dalgasına ve beyaz şapkalıların kurtarma operasyonuna neden oldu. Curve Finance’in hizmet tokeni altcoin Curve DAO’nun (CRV) haberlere tepki olarak %5’in üzerinde düşmesi gündem oldu. Kriptokoin.com olarak daha önce de belirttiğimiz üzere, CRV’nin likiditesi son aylarda önemli ölçüde düştü. Diğer taraftan bu da onu şiddetli fiyat dalgalanmalarına karşı savunmasız hale getirdi. Curve Finance’e göre, crvUSD sözleşmeleri ve onunla birlikte herhangi bir havuz saldırıdan etkilenmedi.
Curve Finance, altcoin Ethereum içinde stablecoin’lerin merkezi olmayan değişimini (DEX) sağlayan bir DeFi protokolüdür. Buna göre protokol, kendi ekosistemi içinde bir dizi olayın hedefi olmuştur. Sadece birkaç gün önce, omnipool platformu Conic Finance, 3,26 milyon dolarlık altcoin ETH için hacklendi. Buna göre çalınan miktarın neredeyse tamamı tek bir işlemle yeni bir Ethereum adresine gönderildi.
Son dakika gelişmelerden anında haberdar olmak için bizi Twitter’da, Facebook‘ta ve Instagram‘da takip edin. Telegram ve YouTube kanalımıza katılın!
Kaynak: sizlere kriptokoin.com farkıyla sunulmuştur.
