چندین استخر پایدار در پروژه ارز دیجیتال کرو فایننس که از زبان Vyper استفاده میکردند در 30 جولای مورد سو استفاده قرار گرفتند. ضرر هک Curve Finance در حال حاضر به بیش از 47 میلیون دلار رسیده است. طبق گفته تیم توسعهدهنده Vyper، نسخههای 0.2.15، 0.2.16 و 0.3.0 آن در برابر قفلهای ورود مجدد آسیبپذیر هستند.
هک Curve Finance
بر اساس تجزیه و تحلیل قراردادهای تحت تأثیر توسط شرکت امنیتی Ancilia، در هک Curve Finance صد و سی و شش قرارداد از Vyper 0.2.15، نود و هشت قرارداد از Vyper 0.2.16 و دویست و بیست و شش قرارداد از Vyper 0.3.0 مورد سواستفاده قرار گرفتند.
تیم Vyper در X نوشت: «تحقیق در حال انجام است، اما هر پروژهای که از نسخههای هک شده استفاده میکند باید فوراً با ما تماس بگیرد». طبق بررسی اولیه، برخی از نسخههای کامپایلر Vyper محافظ ورود مجدد (Reentrancy Guard) را به درستی پیادهسازی نمیکنند.
این محافظ با قفل کردن یک قرارداد هوشمند، مانع از اجرای همزمان چندین تابع میشود. حملات بازگشت مجدد به طور بالقوه می تواند تمام سرمایههای موجود در یک قرارداد هوشمند را تخلیه کند.
Curve Finance یک از بزرگترین و معروفترین پروژههای دیفای است که تبادل غیرمتمرکز استیبل کوینها را در اتریوم امکان پذیر میکند. این پروتکل اخیرا مورد حملات زیادی قرار گرفته است.
چند روز پیش، پلتفرم استخر همه جانبه Conic Finance که یکی از پروژه های اکوسیستم کرو فایننس است به مبلغ 3.26 میلیون دلار مورد سوء استفاده قرار گرفت و تقریباً کل مبلغ سرقت شده تنها در یک تراکنش به آدرس جدید اتریوم ارسال شد.
Vyper یک زبان برنامه نویسی مخصوص قرارداد هوشمند و شبیه پایتون است که برای استفاده در ماشین مجازی اتریوم (EVM) ایجاد شده است. شباهت های وایپر به پایتون این زبان را به یکی از نقاط شروع توسعه دهندگان پایتون تبدیل می کند که به دنبال توسعه وب 3 هستند.
چه پروژههایی از هک کرو فایننس آسیب دیدند؟
تعدادی از پروژههای دیفای تحت تأثیر هک Curve Finance قرار گرفتند. صرافی غیرمتمرکز Ellipsis گزارش داد که تعداد کمی از استخرهای پایدار آن با BNB با استفاده از یک کامپایلر قدیمی Vyper مورد سوء استفاده قرار گرفتند.
همچنین استخر alETH-ETH مربوط به پروژه Alchemix شاهد خروج 13.6 میلیون دلاری بوده است. 11.4 میلیون دلار از استخر pETH-ETH در پروژه JPEGd و 1.6 میلیون دلار در استخر seETH-ETH مربوط به پروژه Metronome نیز از جمله سرقتهای انجام شده در طی هک Curve Finance بوده اند.
مدیر عامل کرو فایننس Michael Egorov بعداً تأیید کرد که 32 میلیون توکن CRV به ارزش بیش از 22 میلیون دلار نیز از استخر swap در یک کانال تلگرام تخلیه شده است.
هک Curve Finance باعث ایجاد وحشت در سراسر اکوسیستم DeFi شد و موجی از تراکنش ها در استخرها و عملیات نجات از کلاه سفیدها را برانگیخت. دادههای CoinMarketCap نشان میدهد که توکن کاربردی پروژه کرو فایننس (CRV) در واکنش به این خبر بیش از 5 درصد کاهش یافته است.
به گزارش کوین تلگراف، نقدینگی CRV در ماه های اخیر به میزان قابل توجهی کاهش یافته است و آن را در برابر نوسانات شدید قیمت آسیب پذیر کرده است. طبق گفته Curve Finance، قراردادهای crvUSD و هرگونه استخر مرتبط با آن تحت تأثیر این حمله قرار نگرفتهاند.
سایر پروتکلهای DeFi نیز در ماه های گذشته هدف حملات متعددی قرار گرفته اند. طبق گزارشی که توسط اپلیکیشن De.Fi منتشر شده است، تنها در سه ماهه دوم سال 2023 بیش از 204 میلیون دلار از طریق هک ها و کلاهبرداری های دیفای به سرقت رفته است.
