Уязвимость в языке программирования смарт-контрактов Vyper поставила под угрозу множество пулов ликвидности в проектах DeFi. Уже были подтверждены взломы на $41 млн, в том числе, в проекте Curve.
Специалисты по компьютерной безопасности обнаружили уязвимость в версиях Vyper 0.2.15, 0.2.16 и 0.3.0. Речь идет о неисправной блокировке повторного входа. Как отметили разработчики Curve Finance, хакеры взломали как минимум четыре пула ликвидности и вывели все средства из aETH/ETH, msETH/ETH, pETH/ETH и CRV/ETH. Сумма потерь превысила $22 млн.
Как сообщила компания BlockSec, потенциально под угрозой оказались все пулы, в которых участвуют «обернутые ETH» ― WETH. Дело в том, что язык программирования смарт-контрактов Vyper был создан специально под Виртуальную машину Эфириума (EVM) и используется достаточно широко.
Помимо атак на Curve Finance также зафиксирован отток средств из пула alETH-ETH проекта Alchemix на сумму $13,6 млн. Из пула pETH-ETH проекта PEGd вывели $11,4 млн. Из проекта Metronome вывели $1,6 млн. Взломы через уязвимость в языке Vyper были также зафиксированы в проектах на базе сети BNB Smart Chain.
Некоторые «белые хакеры» уже начали работу по возврату средств. Например, специалисту под псевдонимом «c0ffebabe.eth» удалось вернуть $5 млн на кошельки Curve Finance. Недавно сообщалось, что хакеры взломали платформу Alphapo и вывели криптовалют на сумму $31 млн.
