Анализ взлома Curve Finance от 30/07/2023

Разбор взлома Curve

30 июля 2023г с одного из пулов ликвидности DEX Curve были украдены 6000ETH (после этого данную атаку повторили еще на нескольких пулах).

https://hackmd.io/@LlamaRisk/BJzSKHNjn 

https://twitter.com/CurveFinance/status/1685925429041917952 

Это произошло из-за уязвимости компилятора Vyper https://github.com/vyperlang/vyper/commit/eae0eaf86eb462746e4867352126f6c1dd43302f - которую на данный момент уже пофиксили. 

https://twitter.com/BlockSecTeam/status/1685742026749300736 

Контракт пула: https://etherscan.io/address/0x9848482da3ee3076165ce6497eda906e66bb85c5#code 

https://twitter.com/tonyke_bot/status/1685688149090213889 

Схема транзакции атакующего:

https://explorer.phalcon.xyz/tx/eth/0xa84aa065ce61dbb1eb50ab6ae67fc31a9da50dd2c74eefd561661bfce2f1620c 

Разработчики Vyper заявили, что любой проект, который использует версию компилятора 0.2.15, 0.2.16 and 0.3.0 уязвим, и должен связаться с ними.

https://twitter.com/vyperlang/status/1685692973051498497