Varios grupos estables en Curve Finance utilizando Vyper fueron explotados el 30 de julio, con pérdidas que alcanzaron los $24 millones en el momento de escribir este artículo. Según Vyper, sus versiones 0.2.15, 0.2.16 y 0.3.0 son vulnerables al mal funcionamiento de los bloqueos de reentrada.

«La investigación está en curso, pero cualquier proyecto que dependa de estas versiones debe comunicarse con nosotros de inmediato», escribió Vyper en X. Según un análisis de los contratos afectados realizado por la firma de seguridad Ancilia, 136 contratos utilizaron Vyper 0.2.15 con protección de reentrada, 98 contratos utilizaron Vyper 0.2.16 y 226 contratos utilizaron Vyper 0.3.0.

Según la investigación inicial, algunas versiones del compilador Vyper no implementan correctamente la protección de reentrada, que evita que se ejecuten múltiples funciones al mismo tiempo bloqueando un contrato. Los ataques de reentrada pueden potencialmente drenar todos los fondos de un contrato.

Vyper es un lenguaje de programación pythonico orientado a contratos que apunta a la Máquina Virtual Ethereum (EVM). Las similitudes de Vyper con Python hacen que el lenguaje sea uno de los puntos de partida para los desarrolladores de Python que saltan a Web3.

Varios proyectos financieros descentralizados se vieron afectados por el ataque. El intercambio descentralizado Ellipsis informó que un pequeño número de grupos estables con BNB fueron explotados utilizando un antiguo compilador Vyper. El alETH-ETH de Alchemix también fue testigo de una salida de $13.6 millones, junto con $11.4 millones explotados en el grupo pETH-ETH de JPEGd, y $1.6 millones en el grupo sETH-ETH de Metronome.

El exploit provocó pánico en todo el ecosistema DeFi, lo que provocó una ola de transacciones a través de grupos y una operación de rescate de sombreros blancos. Los datos de CoinMarketCap muestran que el token de utilidad Curve DAO (CRV) de Curve Finance disminuyó más del 5% en reacción a las noticias. La liquidez de CRV ha disminuido significativamente en los últimos meses, lo que la hace vulnerable a las violentas oscilaciones de precios, informó Cointelegraph. Según Curve Finance, los contratos de crvUSD y cualquier grupo con él no se vieron afectados por el ataque.

Curve Finance es un protocolo DeFi que permite el intercambio descentralizado (DEX) de monedas estables dentro de Ethereum. El protocolo ha sido blanco de una serie de incidentes dentro de su ecosistema. Hace apenas unos días, su plataforma omnipool Conic Finance fue explotada por $3.26 millones en Ethereum , con casi toda la cantidad robada enviada a una nueva dirección de Ethereum en una sola transacción.

Pagina Original:

Breaking: Curve Finance pools exploited in over $24M due to reentrancy vulnerability