На 30 юли DeFi пространството стана свидетел на поредица от атаки, в резултат на които бяха откраднати криптовалути на стойност над $24 милиона.
Нападателите се насочиха към пуловете за ликвидност на Curve, платформа за автоматизиран маркет мейкинг (AMM), като използваха уязвимост, която им позволи да изтеглят средства.
A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.
Other pools are safe. https://t.co/eWy2d3cDDj
— Curve Finance (@CurveFinance) July 30, 2023
Сред засегнатите платформи протоколът за NFT кредитиране, известен като JPEG’d, претърпя най-значителна загуба, като бяха откраднати криптовалути на стойност приблизително $11 милиона.
Към момента на инцидента JPEG’d имаше обща заключена стойност от около $32 милиона. Функционалният токен на платформата, JPEG, отбеляза рязък спад от 24.6% през този период.
Curve не беше единствената цел, тъй като Alchemix и Metronome DAO също претърпяха значителни загуби, възлизащи съответно на $13.6 милиона и $1.6 милиона. Интересно е, че MEV бот успя да забележи транзакцията на нападателите и превантивно извърши подобна транзакция, за да изпревари експлойта.
Certain type of Curve factory pool is encountering read-only reentrancy attack and causing a total loss of $11m(@JPEGd_69) + $13m(@AlchemixFi) + …
Initial investigation founds that vyper compiler (0.2.15) doesn't implement the reentrancy guard correctly.
add_liquidity and… pic.twitter.com/avaHdtSFsm
— Tony KΞ (@tonyke_bot) July 30, 2023
Първопричината за уязвимостта беше проследена до Vyper, език за програмиране на трета страна, използван за смарт договори на Етериум. Екипът на Vyper призна, че недостатъкът е възникнал поради грешка в техния компилатор. Въпреки наличието на защити за повторно влизане, които са предназначени да предпазват от подобни атаки, недостатъкът ги е направил неефективни.
Полагат се усилия за справяне с проблема, а разработчиците работят за повишаване на сигурността на DeFi протоколите, за да се предотвратят подобни инциденти в бъдеще.
Първата половина на 2025 г. вече се е превърнала в най-унищожителния период в историята на Web3 сигурността, според наскоро публикувания доклад за сигурността за полугодието на Hacken.
Според доклад на Fortune Министерството на правосъдието на САЩ официално е прекратило разследването срещу съоснователя на Kraken Джеси Пауъл.
Индийската крипто борса CoinDCX потвърди пробив в сигурността на стойност $44 милиона, свързан с една от вътрешните ѝ сметки за ликвидност.
Според нов доклад на The Telegraph Министерството на вътрешните работи на Обединеното кралство се готви да ликвидира огромно количество конфискувани криптовалути – Биткойн на стойност най-малко $7 милиарда.