攻击者利用Curve漏洞从多个DeFi项目中窃取2400万美元

Yori • 2023年7月31日 am8:20 • Defi • 阅读 342

周日，攻击者袭击了多个去中心化金融协议，窃取了价值超过 2400 万美元的加密货币。攻击者利用了自动做市商平台 Curve 流动性池中的漏洞。

根据 Curve 在 Twitter 上的说法，该漏洞可追溯到 Vyper，这是一种用于以太坊智能合约的替代第三方编程语言。Curve 表示，其他不利用该语言的流动性池也没有问题。

全球顶级交易所，手机即可买比特币，10元买比特币，1元买NFT！！！

APP下载官网注册

流动性池是持有代币的智能合约，它们可以以不依赖金融中介的方式向加密市场提供流动性。但是，正如几个项目周日了解到的那样，一个小缺陷可能会造成重大损失。

据去中心化金融安全公司称，价值 1100 万美元的加密货币从 NFT 借贷协议 JPEG’d 中被盗。JPEG’d 是最先发现 Curve 池存在问题的公司之一。

“发生了攻击，”JPEG在 Twitter 上说道。“我们一发现这个问题就一直在调查这个问题，[…]这个问题似乎与 Curve 矿池有关。”

JPEG’d 使用户能够发布 NFT 作为贷款抵押品。就存入 JPEG 的资产而言，该协议的总锁定价值(TVL) 约为 3200 万美元。JPEG 表示，负责保管 NFT 和国库资金的代码不受影响。

根据CoinGecko的数据，截至撰写本文时，该协议的治理代币 JPEG 下跌了 23% 。周日，该代币跌至 0.000347 美元的历史低点。广告

在一条现已删除的推文中，Curve 最初将该漏洞描述为一种本来可以避免的普通只读“重入”攻击。当智能合约与另一个合约交互时，就会发生重入攻击，而另一个合约又会在完全执行之前回调第一个合约。

重入漏洞允许攻击者将多个调用塞入单个函数中，并欺骗智能合约计算不正确的余额。最突出的例子之一是2016 年以太坊上的 DAO黑客攻击，价值 5500 万美元。

然而，Curve 在回复一个 Twitter 帐户（该帐户后来又重申了已删除的声明）时表示，其最初的印象是错误的。

“是的，不是只读的，”Curve 说，并补充说“集成的项目，甚至 vyper 的用户都没有任何不当行为。”

网络安全公司 Cyvers 的联合创始人兼首席技术官 Meir Dolev ，重入攻击是攻击者窃取协议的常见途径。

“它们很常见，”多列夫说。“通过适当的设计和开发，可以避免它们。”

该问题并非 JPEG 特有。他表示，在 NFT 借贷协议被利用后不久，Alchemix 和 Metronome DAO 就以类似的方式分别损失了 1360 万美元和 160 万美元。广告

Alchemix在 Twitter 上承认，它正在积极努力解决其流动性池的问题。MetronomeDAO在 Twitter 上表示，其对所发生事件的调查正在进行中，并将此次攻击描述为“更广泛的漏洞利用的一部分”。

Dolev 表示，就 JPEG 而言，攻击者是由最大可提取值 (MEV) 机器人抢先运行的。该机器人识别了潜在攻击者的交易，并支付费用以在他们之前执行类似的交易。

Vyper 在 Twitter 上表示，是该编程语言的编译器失败了。当开发人员完成代码编写后，会将其从人类可读的格式编译为计算机可以执行的形式。

多列夫说，这阻止了重入防护（项目代码中包含的保护措施，应防止重入攻击）发挥作用。

“在某些版本中，编译器未能以正确的方式编译它，”多列夫说。“它有一些错误或失败。”

文章来源投稿，发布：Yori；文章内容仅供参考，不构成投资建议；投资者据此操作，风险自担；如若转载，请注明出处：http://www.910btc.com/7096.html