Vyper Smart Contract-Schwachstellen
Das Vyper-Team hat kürzlich bekannt gegeben, dass die neuesten Versionen seines Compilers keine angemessenen Schutzmaßnahmen gegen Wiedereintrittsangriffe implementieren konnten. Bei diesen Angriffen ruft ein Angreifer wiederholt eine Funktion innerhalb eines Smart Contracts auf, bevor der vorherige Funktionsaufruf abgeschlossen ist. Durch Ausnutzung der Vertragslogik kann der Angreifer Gelder abziehen oder Daten manipulieren.
Betroffene DeFi-Protokolle
Nach den Enthüllungen ist der CRV-Token von Curve DAO im Jahr 2019 um 15 % gefallen Laut CoinGecko erreichte er in den letzten 24 Stunden einen Tiefststand von etwa 0,60 USD. Taylor Monahan, ein Entwickler von MetaMask, schätzt, dass DeFi-Protokolle Verluste in Höhe von etwa 70 Millionen US-Dollar erlitten haben. Monahan wies jedoch darauf hin, dass einige der gestohlenen Gelder möglicherweise zurückerstattet werden könnten, da ein erheblicher Teil von White-Hat-Hackern und MEV-Bots gesichert wurde.
Bankless, ein web3-Medienunternehmen, berichtete, dass die Verluste über 45 US-Dollar betragen Millionen an Liquidität wurden aus DeFi-Protokollen wie Alchemix, Metronome und JPEG’d gestohlen. Darüber hinaus wurden 25 Millionen US-Dollar aus dem CRV/ETH-Pool von Curve abgezogen. Transaktionsdaten deuten darauf hin, dass der Angriff auf JPEG’d, ein NFT-Kreditprotokoll, von einem MEV-Bot angeführt wurde.
CRV’s Volatility und Egorov’s Loans
On-Chain Daten deuten darauf hin, dass die Angreifer ihr unrechtmäßig erworbenes CRV noch nicht entladen haben, was auf eine mögliche anhaltende Volatilität des Tokens hindeutet. Bemerkenswert ist, dass ein Benutzer namens Egorov erhebliche Kredite gegen sein CRV im Wert von über 100 Millionen US-Dollar aufgenommen hat und dabei Kreditprotokolle wie Aave, Fraxlend, Abracadabra und Inverse Finance verwendet hat. Die Liquidation von Egorovs Positionen könnte jedoch aufgrund der unzureichenden On-Chain-Liquidität für CRV zu Forderungsausfällen bei Aave und anderen Kreditplattformen führen.
Aaves wachsende Nutzung und Risiken
Aaves Der USDC-Pool ist derzeit zu fast 93 % ausgelastet, was zu einem Anstieg der Kreditzinsen auf 22,4 % führt. USDT ist ebenfalls zu 89,5 % ausgelastet, wobei Kreditnehmer Zinssätze von fast 38 % zahlen. Dies erhöht den Druck auf Egorovs geliehenes USDT in Höhe von etwa 60 Millionen US-Dollar weiter.
Curve Pool als On-Chain-Orakel
Trotz der Folgen von Curves Exploit, ChainLinkGod, Ein Community-Botschafter des Orakelanbieters Chainlink glaubt, dass die Situation für DeFi weitaus schlimmer hätte sein können, wenn der CRV/ETH-Pool von Curve branchenweit als On-Chain-Preisorakel anstelle des Preis-Feeds von Chainlink verwendet worden wäre. ChainLinkGod twitterte: “Hätten Aave v2 oder andere DeFi-Kreditprotokolle den (jetzt erschöpften) CRV/ETH-Curve-Pool als On-Chain-Orakel genutzt, wären sie völlig mit uneinbringlichen Schulden konfrontiert worden.”