Aggiornamento (30 luglio, ore 19:55 UTC): Questo articolo è stato aggiornato per fornire maggiori dettagli sull'exploit.

Il 30 Luglio sono state exploitate diverse stable pool di Curve Finance che utilizzavano Vyper, con perdite che hanno superato i 47 milioni di dollari. Secondo Vyper, le sue versioni 0.2.15, 0.2.16 e 0.3.0 sono vulnerabili al malfunzionamento dei reentrancy lock.

"L'indagine è in corso, ma tutti i progetti che si basano su queste versioni devono contattarci immediatamente", ha scritto Vyper su X. In base ad un'analisi dei contratti colpiti effettuata dalla società di security Ancilia, 136 contratti utilizzavano Vyper 0.2.15 con reentrancy protection, 98 contratti usavano Vyper 0.2.16 e 226 contratti utilizzavano Vyper 0.3.0.

Alcune stablepool (alETH/msETH/pETH) che utilizzano Vyper 0.2.15 sono state exploitate a causa del malfunzionamento dei reentrancy lock. Stiamo esaminando la situazione e aggiorneremo la community sugli sviluppi della vicenda.

Le altre pool sono sicure. https://t.co/eWy2d3cDDj

— Curve Finance (@CurveFinance) July 30, 2023

Secondo le prime indagini, alcune versioni del compilatore Vyper non implementano correttamente la reentrancy guard, che impedisce l'esecuzione contemporanea di più funzioni bloccando un contratto. Gli attacchi di reentrancy possono potenzialmente prosciugare tutti i fondi di un contratto.

Vyper è un linguaggio di programmazione stile Python contract-oriented che si rivolge alla Ethereum Virtual Machine (EVM). Le somiglianze tra Python e Vyper rendono questo linguaggio uno dei punti di partenza per gli sviluppatori Python che si affacciano al Web3.

Diversi progetti di finanza decentralizzata sono stati colpiti dall'attacco. L'exchange decentralizzato Ellipsis ha riferito che un piccolo numero di stable pool con BNB è stato exploitato utilizzando un vecchio compilatore Vyper. Anche alETH-ETH di Alchemix ha subito un deflusso di 13,6 milioni di dollari, oltre a 11,4 milioni di dollari exploitati nel pool pETH-ETH di JPEGd e 1,6 milioni di dollari nel pool sETH-ETH di Metronome.

Successivamente, Michael Egorov, CEO di Curve Finance, ha confermato che 32 milioni di token CRV per un valore di oltre 22 milioni di dollari sono stati drenati dalla swap pool in un canale Telegram.

Alcune tipologie di factory pool di Curve stanno subendo un attacco di read only reentrancy causando una perdita totale di 11 milioni di dollari (@JPEGd_69) + 13 milioni di dollari (@AlchemixFi) + ...

Le prime indagini hanno rilevato che il compilatore vyper (0.2.15) non implementa correttamente la reentrancy guard.

add_liquidity e... pic.twitter.com/avaHdtSFsm

— Tony KΞ (@tonyke_bot) July 30, 2023

L'exploit ha scatenato il panico in tutto l'ecosistema della DeFi, provocando un'ondata di transazioni tra le pool e un'operazione di salvataggio da parte dei white hat. I dati di CoinMarketCap mostrano che il token utility Curve DAO (CRV) di Curve Finance è sceso di oltre il 5% in reazione alla notizia. La liquidità di CRV è diminuita significativamente negli ultimi mesi, rendendolo vulnerabile a violente oscillazioni di prezzo, ha riferito Cointelegraph. Secondo Curve Finance, i contratti crvUSD e tutte le pool con esso non sono state colpite dall'attacco.

Curve DAO token il 30 Luglio 2023. Fonte: CoinMarketCap

Curve Finance è un protocollo DeFi che consente lo scambio decentralizzato di stablecoin all'interno di Ethereum. Il protocollo è stato oggetto di diversi incidenti all'interno del suo ecosistema. Solo pochi giorni fa, la sua piattaforma omnipool Conic Finance è stata exploitata per 3,26 milioni di dollari in Ether (ETH), con la quasi totalità della somma rubata inviata in una sola transazione ad un nuovo indirizzo Ethereum.

Negli ultimi mesi i protocolli DeFi sono stati oggetto di numerosi attacchi. Secondo un report di De.Fi, app di portfolio Web3, nel solo Q2 del 2023 sono stati rubati più di 204 milioni di dollari attraverso hack e scam DeFi.

Traduzione a cura di Matteo Carrone