Curve Finance заплатила $250 тыс за обнаружение уязвимости повторного входа

Исследователь безопасности получил вознаграждение в размере 250 000 долларов за обнаружение уязвимости, которая исторически позволяла хакерам выводить миллионы долларов из протоколов криптовалюты.

Исследователь кибербезопасности под псевдонимом Марко Крок из Kupia Security обнаружил уязвимость повторного входа в протоколе децентрализованного финансирования (DeFi) Curve Finance.

В ветке X он объяснил, как эту ошибку можно использовать для манипулирования балансами и вывода средств из пулов ликвидности.

Curve Finance признала потенциальные недостатки безопасности и «признала серьезность уязвимости», объяснил Марко Крок. После тщательного расследования Curve Finance присудила Марко Кроку максимальную награду за обнаружение ошибок в размере 250 000 долларов США.

Источник: Curve Finance.

По данным Curve Finance, угроза была отнесена к категории «не столь опасной», и они полагали, что в таком случае смогут вернуть украденные средства.

Однако в протоколе говорится, что инцидент безопасности любого масштаба «мог бы вызвать серьезную панику, если бы он произошел».

Curve Finance только недавно оправилась от взлома на 62 миллиона долларов, который произошел в июле 2023 года. В рамках возвращения к нормальной жизни протокол DeFi проголосовал за возмещение активов на сумму 49,2 миллиона долларов поставщикам ликвидности (LP).

Источник: Curve Finance.

Данные блокчейна подтверждают, что 94% держателей токенов одобрили выплату токенов на сумму более 49,2 миллиона долларов для покрытия убытков пулов Curve, JPEG (JPEG), Alchemix (ALCX) и Metronome (MET).

Согласно предложению Curve, фонд сообщества будет поставлять токены Curve DAO (CRV). Окончательная сумма также включает вычет за токены, восстановленные после инцидента.

«Общая сумма ETH для восстановления была рассчитана как 5 919,2226 ETH, CRV для восстановления была рассчитана как 34 733 171,51 CRV, а общая сумма для распределения была рассчитана как 55 544 782,73 CRV», — говорится в предложении.

Злоумышленник воспользовался уязвимостью в стабильных пулах, используя некоторые версии языка программирования Vyper. Эта ошибка была выявлена в версиях Vyper 0.2.15, 0.2.16 и 0.3.0. Следовательно, они уязвимы для повторных атак.