Der dunkle Tag von DeFi: 24 Millionen US-Dollar durch Curve-Pool-Exploit verloren

Eine Vielzahl dezentraler Finanzplattformen (DeFi) wurden am vergangenen Sonntag Opfer eines bedeutenden Cyberangriffs, bei dem Cyberkriminelle Kryptowährungen im Wert von über 24 Millionen US-Dollar erbeuteten. Der Curve-Pool-Exploit wurde über eine Lücke in den Liquiditätspools von Curve, einer weit verbreiteten automatisierten Market-Maker-Plattform, orchestriert.

Die Lücke war auf Vyper zurückzuführen, eine alternative Programmiersprache, die für intelligente Verträge von Ethereum verwendet wird. Curve versicherte, dass andere Liquiditätspools, die Vyper nicht nutzten, sicher blieben. Liquiditätspools, bei denen es sich im Wesentlichen um intelligente Verträge handelt, die Token enthalten, bieten Liquidität für Kryptomärkte, ohne dass Finanzintermediäre erforderlich sind. Doch wie mehrere Plattformen herausgefunden haben, kann bereits eine kleine Panne einen erheblichen finanziellen Schaden anrichten.

PSA: Vyper versions 0.2.15, 0.2.16 and 0.3.0 are vulnerable to malfunctioning reentrancy locks. The investigation is ongoing but any project relying on these versions should immediately reach out to us.

Stablepools sind Pools von Stablecoins (Kryptowährungen, die an einen stabilen Vermögenswert, häufig den US-Dollar, gebunden sind), zwischen denen Benutzer handeln können. In diesem Fall handelt es sich bei den genannten Stablepools (alETH/msETH/pETH) um Pools, die verschiedene Versionen von Ethereum-basierten Stablecoins enthalten.

A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.

Other pools are safe. https://t.co/eWy2d3cDDj

Vyper ist eine Programmiersprache, die zum Schreiben intelligenter Verträge auf der Ethereum-Blockchain verwendet wird. Die erwähnte Version 0.2.15 scheint einen Fehler zu haben.

Was ist eine Wiedereintrittssperre?

Eine Wiedereintrittssperre ist eine Sicherheitsfunktion in Smart Contracts, die eine bestimmte Art von Angriff verhindert, der als Wiedereintrittsangriff bezeichnet wird. Bei einem Wiedereintrittsangriff kann ein Angreifer wiederholt eine Funktion in einem Smart Contract aufrufen, bevor der erste Funktionsaufruf abgeschlossen ist, was möglicherweise dazu führt, dass sich der Vertrag auf unerwartete Weise verhält.

Alles in allem besagt der Tweet, dass es einen Fehler in der Vyper-Programmiersprache (Version 0.2.15) gibt, der zu einer Fehlfunktion der Wiedereintrittssperre in einigen ihrer Stablepools geführt hat, wodurch sie anfällig für Angriffe sind. Sie untersuchen das Problem derzeit und werden Updates bereitstellen, sobald sie mehr erfahren. Sie stellen außerdem sicher, dass andere Pools (diejenigen, die Vyper 0.2.15 nicht verwenden) nicht betroffen sind und sicher bleiben.

Um eine einfache Analogie zu geben, stellen Sie sich einen Banktresor (den Stablepool) mit einem speziellen Schloss (dem Wiedereintrittsschloss) vor, das Diebe am Eindringen hindern soll. Aufgrund eines Herstellungsfehlers im Schloss (der Fehler in Vyper 0.2.15 ), funktioniert das Schloss nicht richtig und Diebe konnten in den Tresor gelangen. Die Bank (Curve Finance) untersucht nun, wie es dazu kam und wie man es beheben kann, und versichert den Kunden, dass andere Tresore mit anderen Schlössern immer noch sicher sind.

Hauptopfer des Curve-Pool-Exploits

Eines der größten Opfer war das NFT-Kreditprotokoll JPEG’d, das einen Verlust an Kryptowährung im Wert von 11 Millionen US-Dollar erlitt, wie Decurity, ein auf dezentrale Finanzsicherheit spezialisiertes Unternehmen, berichtete. JPEG’d war einer der ersten, der ein Problem mit seinem Pool auf Curve entdeckte. Trotz des Cyberangriffs hatte JPEG versichert, dass der Code zum Schutz von NFTs und Staatsfonds unversehrt blieb.

Certain type of Curve factory pool is encountering read-only reentrancy attack and causing a total loss of $11m(@JPEGd_69) + $13m(@AlchemixFi) + …

Initial investigation founds that vyper compiler (0.2.15) doesn't implement the reentrancy guard correctly.

add_liquidity and… pic.twitter.com/avaHdtSFsm

Einfacher ausgedrückt: Ein erster Blick auf die Angelegenheit zeigt, dass einige Versionen des Vyper-Compilers, eines Tools, das Code in ein Format übersetzt, das Computer verstehen können, einen Fehler aufweisen. Dieser Fehler betrifft den Wiedereintrittsschutz, eine Sicherheitsfunktion, die durch das Sperren eines Vertrags die gleichzeitige Ausführung mehrerer Funktionen verhindert. Dieser Fehler könnte es einem Angreifer möglicherweise ermöglichen, alle Gelder aus einem Vertrag zu stehlen.

Vyper ist eine Programmiersprache, die Python ähnelt. Sie wird zum Schreiben von Verträgen für die Ethereum Virtual Machine (EVM) verwendet, die Teil des Ethereum-Netzwerks ist. Da Vyper Python ähnelt, ist es oft die erste Wahl für Python-Entwickler, die anfangen, mit Web3 zu arbeiten, einem Begriff, der das dezentrale Internet beschreibt, das auf Blockchain basiert.

A small number of stablepools with BNB using an old Vyper compiler have been exploited.

We are assessing the situation and will update the community on any further findings. https://t.co/pxkhRRSr5w

Mehrere Projekte im dezentralen Finanzwesen, einer Finanzierungsform, die nicht auf traditionelle Finanzinstitute angewiesen ist, waren von dem Angriff betroffen. Ellipsis, eine dezentrale Börse, berichtete, dass einige ihrer stabilen Pools mit BNB mit einer alten Version des Vyper-Compilers ausgenutzt wurden. Der alETH-ETH-Pool von Alchemix verzeichnete einen Abfluss von 13,6 Millionen US-Dollar. Der pETH-ETH-Pool von JPEGd verlor 11,4 Millionen US-Dollar und der sETH-ETH-Pool von Metronome verlor 1,6 Millionen US-Dollar. Michael Egorov, der CEO von Curve Finance, bestätigte später, dass 32 Millionen CRV-Tokens im Wert von über 22 Millionen US-Dollar aus dem Swap-Pool entnommen wurden

Entschlüsselung der Natur des Curve-Pool-Exploits

Zunächst bezeichnete Curve die Lücke als einen standardmäßigen „Re-Entrance“-Angriff, einen weit verbreiteten Exploit, bei dem ein Smart Contract mit einem anderen Vertrag interagiert. Dieser kommuniziert dann vor der vollständigen Ausführung mit dem ersten Vertrag. Dadurch kann ein Cyberkrimineller mehrere Aufrufe innerhalb einer einzigen Funktion initiieren und so einen Smart Contract dazu verleiten, ungenaue Salden zu berechnen. Curve revidierte jedoch später seine ursprüngliche Bewertung und erklärte, sie sei falsch.

Andere betroffene Plattformen

Das Problem war nicht auf JPEG beschränkt. Alchemix und Metronome DAO wurden ebenfalls Opfer ähnlicher Exploits und erlitten Verluste in Höhe von 13,6 Millionen US-Dollar bzw. 1,6 Millionen US-Dollar. Beide Plattformen untersuchen aktiv die Probleme mit ihren Liquiditätspools und streben danach, sie zu beheben.

@CurveFinance hack root cause analysis. Essentially the lock slot on two different functions, add_liquidity and remove_liquidity are different. As you can see from our internal took, one is 2 and another is 0. That means the re-entry protection is gone. pic.twitter.com/o2bemxiGVf

Vypers Rolle bei dem Vorfall

Vyper gab zu, dass der Fehler im Compiler lag, der in einem für Menschen lesbaren Format geschriebenen Code in eine Form umwandelt, die Computer verarbeiten können. Dieser Fehler beeinträchtigte die ordnungsgemäße Funktion der Wiedereintrittswächter, die zur Abwehr von Wiedereintrittsangriffen konzipiert waren. Als Hauptursache für die Lücke, die den Cyberangriff ermöglichte, wurde die Fehlfunktion im Compiler identifiziert.

Zurzeit haben wir ein spannendes Test-Angebot für dich! Du kannst unsere Premium-Mitgliedschaft im ersten Monat für 1€/Tag testen. Überlege dir, es zu testen, falls du im Krypto-Markt immer Up-To-Date sein möchtest! Du erhältst im Premium-Bereich Trading-Ideen sowie professionellen Trading-Support. Weiterhin erhältst du oftmals frühzeitig Informationen zu den neuesten Krypto-Trends! So konnten unsere Kunden auch verschiedene NFTs früh genug kaufen. Falls du Genaueres zu unserem Premium Test-Angebot lesen willst, dann klicke hier!