- Ein Bug im Vyper-Compiler, welcher auch von Curve Finance verwendet wird, bringt mehr als 100 Millionen US-Dollar an Kryptowährungen in Gefahr.
- Mehrere Stable-Pools auf Curve Finance, welche Vyper verwenden, wurden am 30. Juli bestohlen.
- Eine Reihe weiterer DeFi-Protokolle ist ebenfalls betroffen, sodass die Schäden sich noch weiter in die Höhe schrauben könnten.
47 Mio. USD aus Stable-Pools gestohlen
Curve Finance ist eine Stablecoin-Börse auf Ethereum und einer der prominentesten Vertreter des DeFi-Bereiches. Die Plattform hat eine Marktkapitalisierung von 572 Millionen US-Dollar und kann ein beeindruckendes TVL (Total Value Locked) von über 4 Milliarden US-Dollar ausweisen.
Wie Curve Finance jedoch gestern auf Twitter/X berichtete, wurde es Opfer eines Exploits, welcher es Angreifern ermöglichte zweistellige Millionenbeträge aus Stablecoin-Pools zu entwenden.
A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.
— Curve Finance (@CurveFinance) July 30, 2023
Other pools are safe. https://t.co/eWy2d3cDDj
Betroffen sind die Stablepools alETH, msETH und pETH, welche die Vyper Version 0.2.15 nutzen. Vyper ist eine Smart-Contract Programmiersprache, mit der man EVM (Ethereum Virtual Maschine) Code schreiben kann. Durch die Nähe zu Python ist die Sprache eine beliebte Anlaufstelle für Python-Entwickler, die in Web3 einsteigen.
Laut Vyper hat sich bei den Vyper Versionen 0.2.15, 0.2.16 und 0.3.0 ein Fehler eingeschlichen, der die Funktion des "Reentracy Lock" beeinträchtigt:
Die Untersuchung läuft noch, aber alle Projekte, die diese Versionen nutzen, sollten sich umgehend mit uns in Verbindung setzen.
Ersten Untersuchungen zufolge implementieren einige Versionen des Vyper-Compilers den Reentrancy Guard nicht korrekt. Das verhindert die gleichzeitige Ausführung mehrerer Funktionen durch Sperren eines Contracts. Bei Reentrancy-Angriffen können alle Gelder aus einem Contract gestohlen werden.
Berichte auf Twitter/X bestätigen, dass mehrere DeFi Projekte von Angriffen betroffen waren. Die dezentrale Börse Ellepsis meldete zum Beispiel, dass einige Stable-Pools mit BNB ebenfalls Opfer des Exploits wurden.
Twitter/X-User Tony KE macht zudem weitere Opfer ausfindig. So wurden seiner Aussage nach 11,4 Millionen US-Dollar aus dem pETH-ETH Pool von JPEGd_69 und 13,6 Millionen US-Dollar aus dem alETH-ETH Pool von AlchemixFI entwendet.
Certain type of Curve factory pool is encountering read-only reentrancy attack and causing a total loss of $11m(@JPEGd_69) + $13m(@AlchemixFi) + ...
— Tony KΞ (@tonyke_bot) July 30, 2023
Initial investigation founds that vyper compiler (0.2.15) doesn't implement the reentrancy guard correctly.
add_liquidity and… pic.twitter.com/avaHdtSFsm
Curve Finance weist nach derzeitigem Stand den größten Verlust auf. Auf Telegram gab der CEO bekannt, dass 32 Millionen CRV-Token im Wert von 22 Millionen US-Dollar aus dem Swap-Pool gestohlen wurden.
Massiver Curve Finance Abverkauf
Der Exploit löste im gesamten DeFi-Ökosystem Panik aus und führte dazu, dass die Transaktionsvolumina in die Höhe schossen. Allein bei Curve Finance verzeichnet das 24h-Volumen einen Anstieg von über 2500 Prozent. Viele Anleger versuchen ihre Gelder rechtzeitig in Sicherheit zu bringen.
Die Verluste sind enorm und leider werden die meisten Betroffenen ihr Geld nicht wieder sehen. So reagiert auch der Curve Finance eigene CRV-Token mit einem massiven Abverkauf und verlor seit Bekanntwerden des Exploits knapp 15 Prozent.
Es ist leider nicht das erste Mal, dass das DeFi-Protokoll, welches den dezentralen Austausch von Stablecoins innerhalb von Ethereum und anderen EVM-kompatiblen Blockchains ermöglicht, Opfer eines solchen Angriffs wird.
Die zum Curve-Ökosystem gehörige Plattform Conic Finance wurde erst vor wenigen Tagen Opfer eines anderen Exploits, welcher Anleger 3,26 Millionen US-Dollar in ETH kostete.
Fazit zu den Geschehnissen
Exploits und Hackerangriffe bleiben nach wie vor ein großes Risiko für Kryptoanleger. Laut einem Bericht der Web2-Portfolio-App De.Fi wurden allein im zweiten Quartal 2023 mehr als 204 Millionen US-Dollar durch DeFi-Hacks und Betrügereien ergaunert.
Die höchste Fehleranfälligkeit zeigen sogenannte Token-Bridges oder wie jetzt fehlerhafte Smart-Contracts, in denen User-Assets verwahrt werden.
Um Dich selbst vor derartigen Angriffen zu schützen, solltest Du vermeiden, Deine digitalen Assets aus der Hand zu geben oder zumindest darauf achten, dass Smart Contracts, mit denen Du interagierst, rigoros getestet wurden.
Am sichersten ist es, die Assets auf einer eigenen Hardware-Wallet zu verwahren und DeFi-Transaktionen auf ein Minimum zu reduzieren. Auf diese Weise bist Du jederzeit Herr über Deine eigenen Assets.
Daniel Wenz
