Curve Finance gibi DeFi protokolleri tarafından yaygın olarak kullanılan Vyper programlama dilindeki bir güvenlik açığı, 30 Temmuz Pazar günü birden fazla Curve likidite havuzunun kullanılmasına yol açtı.
Vyper programlama dilinde bulunan bir güvenlik açığı nedeniyle 30 Temmuz’da birkaç Curve Finance likidite havuzu saldırıya uğradı. Vyper, Ethereum Virtual Machine (EVM) için oluşturulmuş bir sözleşme programlama dilidir.
Curve Finance, kilit likidite hizmetleri nedeniyle kilit merkezi olmayan finans (DeFi) protokollerinden biridir ve kod güvenlik açığı, yaklaşık 100 milyon dolar değerinde dijital varlığı riske attı.
Güvenlik açığı, 0.2.15, 0.2.16 ve 0.3.0 sürümlerinde bulundu ve arızalı bir yeniden giriş kilidine yol açtı. Sonuç olarak, aETH/ETH, msETH/ETH, pETH/ETH ve CRV/ETH olmak üzere dört Eğri havuzundan milyonlar çekildi. Üç varyantındaki kusur, bir dizi başka protokol üzerinde etkili olabilir.
Curve Finance’in (CRV) yerel tokeninin fiyatı, birkaç havuzun önemli ölçüde boşalması nedeniyle DeFi piyasasında çöktü; ancak, sonunda merkezi döviz fiyatı akışı tarafından kurtarıldı.
CRV fiyatı, merkezi olmayan borsalarda 0,086 doları vurdu, ancak merkezi borsalarda (CEX’ler) 0,60 dolardan işlem gördü ve token fiyatının sıfıra düşmesini engelledi.
Eğri havuzları, Chainlink’in merkezi borsalar da dahil olmak üzere çeşitli fiyat beslemelerini içeren kehanet sistemini kullanır. CEX fiyat akışı olmasaydı, Curve Finance çökerdi.
Bu ironik olay, sonunda DeFi protokolünü kurtaranın bir CEX fiyat akışı olduğu gerçeğine kıkırdayan Binance CEO’su Changpeng Zhao’nun dikkatini çekti.
Zhao, kripto borsası kodu en son sürüme güncellediği için Vyper güvenlik açığının Binance’i etkilemediğini belirtti. Ayrıca herkese kod kitaplığı yükseltmelerinin önemini hatırlattı.
Vyper kodunun önceki sürümlerindeki hatanın en az 1,5 yaşında olduğuna inanılıyor ve istismarcının, milyonlarca doları tehlikede olan büyük bir protokol için istismar edilebilir bir sorun bulmak için yayın geçmişini derinlemesine incelediğine inanılıyor.
X’te (Twitter) bir Vyper program katılımcısı, istismara harcanan zaman ve kaynakların miktarının, bunun devlet destekli bir saldırı olabileceğini gösterdiğini öne sürdü .