# Curve Finance: 47 Mio. US-Dollar aus Stable-Pools bei Exploit gestohlen

Mehrere Stable-Pools auf Curve Finance, die Vyper nutzen, wurden am 30. Juli Opfer eines Exploits. Dabei sind über 47 Millionen US-Dollar gestohlen worden. Nach Angaben von Vyper sind die Versionen 0.2.15, 0.2.16 und 0.3.0 anfällig für fehlerhafte Reentrancy Locks.

„Die Untersuchung läuft noch, aber alle Projekte, die diese Versionen nutzen, sollten sich umgehend mit uns in Verbindung setzen“, so Vyper auf X. Laut einer Analyse von betroffenen Contracts durch das Sicherheitsunternehmen Ancilia verwenden 136 Contracts Vyper 0.2.15 mit Reentrance-Schutz, 98 Contracts verwenden Vyper 0.2.16 und 226 Contracts verwenden Vyper 0.3.0.

Eine Reihe von Stablepools (alETH/msETH/pETH), die Vyper 0.2.15 verwenden, wurden aufgrund eines nicht funktionierenden Reentrancy Locks ausgenutzt. Wir bewerten die Situation und werden die Community über die weitere Entwicklung informieren.

Andere Pools sind sicher. https://t.co/eWy2d3cDDj

– Curve Finance (@CurveFinance) Juli 30, 2023

Ersten Untersuchungen zufolge implementieren einige Versionen des Vyper-Compilers den Reentrancy Guard nicht korrekt. Das verhindert die gleichzeitige Ausführung mehrerer Funktionen durch Sperren eines Contracts. Bei Reentrancy-Angriffen können alle Gelder aus einem Contract gestohlen werden.

Vyper ist eine Contract-orientierte, pythonische Programmiersprache, die auf die Ethereum Virtual Machine (EVM) ausgerichtet ist. Die Ähnlichkeit von Vyper zu Python machen diese Sprache zu einer beliebten Anlaufstelle für Python-Entwickler, die in Web3 einsteigen.

Mehrere DeFi-Projekte waren von dem Angriff betroffen. Die dezentrale Börse Ellipsis meldete, dass einige Stable-Pools mit BNB, die einen alten Vyper-Compiler verwendeten, einem Exploit zum Opfer fielen. Bei alETH-ETH von Alchemix flossen 13,6 Millionen US-Dollar ab, bei pETH-ETH von JPEGd 11,4 Millionen US-Dollar und bei sETH-ETH von Metronome 1,6 Millionen US-Dollar. Der CEO von Curve Finance Michael Egorov bestätigte später in einem Telegram-Kanal, dass 32 Millionen CRV-Token im Wert von über 22 Millionen US-Dollar aus dem Swap-Pool gestohlen wurden.

Bestimmter Typ von Curve-Factory-Pool ist auf Read-Only-Rentrancy-Attacke gestoßen und verursachte einen Gesamtverlust von $11m(@JPEGd_69) + $13m(@AlchemixFi) + …

Erste Untersuchungen ergaben, dass der vyper-Compiler (0.2.15) den Reentrancy Guard nicht korrekt implementiert.

add_liquidity und… pic.twitter.com/avaHdtSFsm

– Tony KΞ (@tonyke_bot) July 30, 2023

Der Exploit löste im gesamten DeFi-Ökosystem Panik aus und führte zu vielen Transaktionen in verschiedenen Pools und einer Rettungsaktion von White Hats. Daten von CoinMarketCap zeigen, dass der Utility-Token Curve DAO (CRV) von Curve Finance kurz nach dieser Nachricht um über 5 Prozent gefallen ist. Die Liquidität von CRV ist in den letzten Monaten deutlich zurückgegangen, wodurch er heftigen Kursschwankungen ausgesetzt ist, wie Cointelegraph berichtete. Laut Curve Finance waren crvUSD-Kontrakte und alle damit verbundenen Pools nicht von dem Angriff betroffen.

Curve Finance ist ein DeFi-Protokoll, das den dezentralen Austausch von Stablecoins innerhalb von Ethereum ermöglicht. Bei dem Protokoll gab es innerhalb seines Ökosystems mehrere Vorfälle. Erst vor wenigen Tagen gab es bei der Omnipool-Plattform Conic Finance einen Exploit, bei dem 3,26 Millionen US-Dollar in Ether (ETH) gestohlen wurden. Fast der gesamte gestohlene Betrag wurde in nur einer Transaktion an eine neue Ethereum-Adresse geschickt.

DeFi-Protokolle sind in den vergangenen Monaten schon mehrmals angegriffen worden. Laut einem Bericht der Web3-Portfolio-App De.Fi wurden allein im zweiten Quartal 2023 mehr als 204 Millionen US-Dollar durch DeFi-Hacks und -Betrügereien ergaunert.