Op 30 juli zijn verschillende stabiele liquiditeitspools op Curve Finance, die gebruikmaken van Vyper, het slachtoffer geworden van een exploit, waarbij verliezen opliepen tot meer dan $47 miljoen. Vyper heeft aangegeven dat de versies 0.2.15, 0.2.16 en 0.3.0 kwetsbaar zijn voor falende reentrancy locks. Curve Finance is een DeFi-protocol dat de gedecentraliseerde uitwisseling van stablecoins binnen Ethereum mogelijk maakt.
Vyper schreef op Twitter/X: “Het onderzoek loopt nog, maar elk project dat afhankelijk is van deze versies moet onmiddellijk contact met ons opnemen.” Na een analyse van de getroffen contracten door het beveiligingsbedrijf Ancilia, blijkt dat 136 contracten gebruikmaakten van Vyper 0.2.15 met reentrantiebescherming, 98 contracten gebruikmaakten van Vyper 0.2.16 en 226 contracten gebruikmaakten van Vyper 0.3.0.
De exploit veroorzaakte paniek in het hele DeFi-ecosysteem en leidde tot een golf van transacties over verschillende pools, evenals een reddingsoperatie door ‘white hat’ hackers. Volgens gegevens van CoinMarketCap daalde de token van Curve Finance, Curve DAO (CRV), met meer dan 5% als reactie op het nieuws. De liquiditeit van CRV was de afgelopen maanden aanzienlijk afgenomen, waardoor het kwetsbaar werd voor heftige prijsschommelingen, zoals gerapporteerd door Cointelegraph.
Gelukkig meldde Curve Finance dat CRVD/USD-contracten en eventuele pools die het gebruikten niet werden getroffen door de aanval. Dit bracht enige opluchting aan de gemeenschap te midden van de opschudding, maar benadrukt ook het belang van veiligheidsmaatregelen in de DeFi-ruimte.
Teruggekregen funds
Curve Finance heeft een deel van het geld teruggekregen dankzij de bot-operator ‘c0ffeebabe.eth’, die 2.879 ETH heeft teruggestuurd naar het platform, wat momenteel bijna $5,5 miljoen waard is. Deze fondsen waren op ethische wijze gestolen van de hacker door hun kwaadaardige transactie vooraf te gaan.
De roof destabiliseerde de handelsmarkten voor Curve DAO’s CRV-token, dat op het moment van schrijven met 17% was gedaald tot een prijs van $0,61. Deze prijsactie dreigde de chaos te vergroten door mogelijk een gedwongen liquidatie te veroorzaken voor de oprichter van Curve’s $70 miljoen leningpositie op Aave.
Ondertussen daalde de totale waarde van activa die vergrendeld waren op Curve aanzienlijk tot $1,7 miljard op maandag, nadat deze op zondag nog meer dan $3 miljard bedroeg, volgens gegevens van DeFiLlama. Het is waarschijnlijk dat investeerderskapitaal het platform verliet als reactie op de situatie.