分散型金融(DeFi)プロトコルが厳しいストレステストを受けている。原因はプログラミング言語であるVyperのバージョンに見つかった致命的な欠陥で、7月30日に何百万ドルもの仮想通貨が盗まれる結果となった。
Vyper 0.2.15、0.2.16、0.3.0を使用するいくつかのプールは、機能不全を起こしたリエントランシーロックを悪用され、Curve Financeプロトコル上の少なくとも4つの流動性プールが標的にされた。「簡潔に言えば、抜き取ることができる全てが抜き取られた。標的となったプールはaETH/ETH、msETH/ETH、pETH/ETH、CRV/ETHだ。その他の全てのプールは安全であり、このバグの影響を受けていない」とCurve FinanceはDiscordで述べた。
スマートコントラクトの監査企業であるブロックセック(BlockSec)は、このリエントランシーがラップドイーサ(WETH)を持つ全てのプールを攻撃の危険に晒す可能性があると指摘した。
Please note that this reentrancy issue is associated with the use of 'use_eth', which could potentially place the WETH-related pools in jeopardy! @CurveFinance , please DM us if you need any help. https://t.co/vjc1RRce7w pic.twitter.com/Wz8DXJZK7Y
— BlockSec (@BlockSecTeam) July 30, 2023
Vyperはイーサリアム仮想マシン(EVM)向けに設計されたスマートコントラクトのためのプログラミング言語だ。最も広く使われているWeb3プログラミング言語の1つと考えられており、その3つのバージョンにあるバグは他のいくつかのプロトコルに影響を及ぼす可能性がある。
この攻撃は多数の分散型金融プロジェクトに影響を与え、アルケミックス(Alchemix)のalETH-ETHは1360万ドル、PEGdのpETH-ETHプールは1140万ドル、メトロノーム(Metronome)のsETH-ETHプールは160万ドルが流出し、さらに過去数時間で3200万のCurve DAO(CRV)トークンが流出し、総額2200万ドル以上となった。分散型取引所Ellipsisも、BNBを持ついくつかのステーブルコインプールが旧Vyperコンパイラを使用した攻撃により損害を受けたと報告した。
crv/eth pool drained minutes before a whitehack operation :(https://t.co/rhALBzkTEi
— banteg (@bantg) July 30, 2023
この事件はCRVの価格にもマイナス影響を与え、執筆時点で12%以上下落し0.64ドルとなった。コミュニティメンバーは、CRVの価格下落がCurveの創設者マイケル・エゴロフ氏に対してAaveでの7000万ドルの借入れポジションの清算を強いる可能性があるという、Aaveのプロトコルへの潜在的な連鎖反応も指摘している。