Beberapa stable pool di Curve Finance yang menggunakan Vyper diretas pada tanggal 30 Juli dengan kerugian lebih dari $47 juta. Menurut Vyper, versi 0.2.15, 0.2.16, dan 0.3.0 rentan terhadap gangguan reentrancy lock.
Berdasarkan analisis kontrak yang terdampak oleh perusahaan sekuritas Ancilia, 136 kontrak menggunakan Vyper 0.2.15 dengan proteksi reentrant, 98 kontrak menggunakan Vyper 0.2.16, dan 226 kontrak menggunakan Vyper 0.3.0.
Hasil Investigasi Awal
Menurut investigasi awal, beberapa versi kompiler Vyper tidak menjalankan reentrancy guard dengan benar. Akibatnya, serangan reentrancy dapat menguras semua dana dari sebuah kontrak.
Vyper adalah bahasa pemrograman python yang berorientasi pada kontrak yang menargetkan Ethereum Virtual Machine (EVM). Kemiripan Vyper dengan Python membuat bahasa ini menjadi salah satu titik awal bagi para pengembang Python untuk terjun ke Web3.
Sejumlah proyek keuangan terdesentralisasi terpengaruh oleh serangan tersebut. Decentralized exchange Ellipsis melaporkan bahwa sebagian kecil stable pool dengan BNB diretas menggunakan kompiler Vyper lama.
Dampak Peretasan
Alchemix’s alETH-ETH juga mencatat outflow sekitar $13,6 juta, dimana $11,4 juta yang dieksploitasi pada pool pETH-ETH JPEGd, dan $1,6 juta di pool sETH-ETH Metronome. CEO Curve Finance Michael Egorov kemudian mengungkapkan bahwa 32 juta token CRV senilai lebih dari $22 juta telah dikuras dari pool swap di Telegram.
Eksploitasi tersebut memicu kepanikan di seluruh ekosistem DeFi. Berdasarkan data dari CoinMarketCap, token utilitas Curve Finance, Curve DAO (CRV), turun lebih dari 5% sebagai reaksi terhadap berita tersebut.
Curva Finance
Likuiditas CRV telah menurun secara signifikan dalam beberapa bulan terakhir, membuatnya rentan terhadap perubahan harga yang besar. Menurut Curve Finance, kontrak CRVUSD dan semua pool yang ada di dalamnya tidak terpengaruh oleh serangan tersebut.
Curve Finance adalah protokol DeFi yang memungkinkan pertukaran stablecoin yang terdesentralisasi di dalam Ethereum. Protokol ini telah menjadi sasaran serangkaian insiden dalam ekosistemnya.
Beberapa hari yang lalu, platform omnipool Conic Finance dieksploitasi sebesar $3,26 juta dalam bentuk Ether. Hampir seluruh jumlah yang dicuri dikirim ke alamat Ethereum baru hanya dalam satu transaksi.
Baca Juga: Tanggapan Komunitas Kripto Atas Peretasan Core Bitcoin Developer