ハッカーがカーブから1億ドル以上を流出、CRV取引が停止

CoinDeskはプロジェクトのツイートを引用し、イーサリアムのDeFiエコシステムの中心となるステーブルコインプラットフォームであるCurveが7月30日遅くにハッキング被害に遭ったと報じた。 一部の Curve エコシステム コンポーネントの背後にあるプログラミング言語である Vyper の「再入」バグにより、上記の金額は危険にさらされています。

この記事の執筆時点では、システム内の多数のステーブルコイン プールがハッカーによって枯渇していました。 これらのプールは、いくつかの異なる DeFi サービスの価格設定と流動性の提供に使用されました。

再入バグは、同時実行プログラムまたはマルチスレッド プログラムで発生するソフトウェア脆弱性の一種です。 ここでは、アプリケーションのコードが前回の実行を完了する前に中断され、再入力される可能性があり、予期しない望ましくない動作が発生する可能性があります。

再入バグは通常、共有リソース、非同期、インターリーブ実行が原因で発生します。 多くの場合、複数のスレッドまたはプロセスは、グローバル変数、オブジェクト、データ構造などの共通リソースを共有します。

共有リソースが適切に同期または保護されていない場合、あるスレッドが共有リソースの使用中または変更中に別のスレッドに割り込む可能性があります。

スレッドが中断され、別のスレッドが引き継ぐと、意図または予期されていない方法で共有リソースにアクセスして変更する可能性があります。

バグの正確な原因は現時点では不明ですが、韓国のアップビットなど、多くの取引所がすでにカーブ・ファイナンスのCRVトークンの取引を停止しています。

Vyper を使用する他のプロジェクトでも同様の脆弱性が発生すると予想されます。 この記事の執筆時点で、ブロックチェーン監査会社 BlockSec は、損失総額が 4,200 万ドルを超えると見積もっています。

カーブのウェブサイトによると、同社は232のプールを運営しているが、そのうちの一部が危険にさらされている。

このハッキングにより、過去 24 時間で CRV トークンが 12.60% 下落しました。 Coinmarketcapによると、現在0.64ドルで取引されている。

この強盗により、カーブの創設者がAaveで抱えていた7000万ドルの借入ポジションが清算されるリスクもある。