Một số stable pool trên Curve Finance sử dụng Vyper đã bị khai thác vào ngày 30 tháng 7, với khoản lỗ lên tới hơn 47 triệu USD. Theo Vyper, các phiên bản 0.2.15, 0.2.16 và 0.3.0 của nó dễ bị trục trặc với khóa reentrancy.
“Cuộc điều tra đang diễn ra nhưng bất kỳ dự án nào dựa trên các phiên bản này nên liên hệ ngay với chúng tôi”, Vyper viết trên X. Dựa trên phân tích các hợp đồng bị ảnh hưởng bởi công ty bảo mật Ancilia, 136 hợp đồng đã sử dụng Vyper 0.2.15 với tính năng bảo vệ reentrancy, 98 hợp đồng đã sử dụng Vyper 0.2.16 và 226 hợp đồng đã sử dụng Vyper 0.3.0.
A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.
Other pools are safe. https://t.co/eWy2d3cDDj
— Curve Finance (@CurveFinance) July 30, 2023
Theo điều tra ban đầu, một số phiên bản của trình biên dịch Vyper không triển khai chính xác trình bảo vệ reentrancy, điều này ngăn nhiều chức năng được thực thi cùng lúc bằng cách khóa hợp đồng. Các cuộc tấn công Reentrancy có khả năng rút hết tiền từ một hợp đồng.
Vyper là một ngôn ngữ lập trình Pythonic, hướng đến hợp đồng, nhắm mục tiêu Máy ảo Ethereum (EVM) . Những điểm tương đồng của Vyper với Python khiến ngôn ngữ này trở thành một trong những điểm khởi đầu cho các nhà phát triển Python nhảy vào Web3.
Một số dự án tài chính phi tập trung đã bị ảnh hưởng bởi cuộc tấn công. Sàn giao dịch phi tập trung Ellipsis đã báo cáo rằng một số lượng nhỏ stable pool với BNB đã bị khai thác bằng trình biên dịch Vyper cũ.
Certain type of Curve factory pool is encountering read-only reentrancy attack and causing a total loss of $11m(@JPEGd_69) + $13m(@AlchemixFi) + …
Initial investigation founds that vyper compiler (0.2.15) doesn’t implement the reentrancy guard correctly.
add_liquidity and… pic.twitter.com/avaHdtSFsm
— Tony KΞ (@tonyke_bot) July 30, 2023
Việc khai thác đã gây ra sự hoảng loạn trên toàn hệ sinh thái DeFi, thúc đẩy một làn sóng giao dịch trên các pool và chiến dịch giải cứu của hacker mũ trắng. Dữ liệu từ CoinMarketCap cho thấy mã thông báo tiện ích Curve DAO (CRV) của Curve Finance giảm hơn 5% trước tin tức này.
THEO DÕI CHÚNG TÔI TRÊN FACEBOOK | TELEGRAM | TWITTER
0 nhận xét:
Đăng nhận xét