30 июля ряд протоколов децентрализованных финансов (DeFi) подвергся атаке, в результате которой была потеряна криптовалюта на сумму более 24 млн. долл.
Злоумышленники воспользовались уязвимостью в пулах ликвидности на платформе автоматического маркет-мейкера (AMM) Curve.
Протокол кредитования NFT, JPEG’d, потерял 11 млн долл. в криптовалюте. Протокол имеет блокировку общей стоимостью около 32 млн. долл. и позволяет пользователям размещать NFT в качестве залога по кредиту. После взлома токен JPEG снизился на 24,6%.
Уязвимость была впервые названа компанией c обычным, избегаемым эксплойтом «re-entrancy», предназначенным только для чтения. Позже компания Curve уточнила это утверждение.
JPEG’d стал не единственной жертвой проблемы: Alchemix и Metronome DAO понесли сопоставимые потери в размере 13,6 млн. долл. и 1,6 млн. долл. соответственно. Бот с максимальной извлекаемой стоимостью (MEV) засек транзакцию потенциального злоумышленника и заплатил за проведение сопоставимой транзакции, опередив его.
Было обнаружено, что за дефект ответственен Vyper, сторонний язык программирования смарт-контрактов Ethereum.
Компания Vyper заявила, что компилятор языка программирования дал сбой. Поскольку в код проектов были встроены защиты от повторного входа, которые должны были защищать от атак на вход, это привело к их неработоспособности.
