Lỗ hổng Vyper khiến hệ sinh thái DeFi phải đối mặt với các bài kiểm tra căng thẳng
Một số nhóm sử dụng Vyper đã bị khai thác do khóa vào lại bị trục trặc có khả năng làm lộ tất cả các nhóm có Ether được bao bọc (WETH).
Các giao thức tài chính phi tập trung (DeFi) đang trải qua một bài kiểm tra căng thẳng sau khi một lỗ hổng nghiêm trọng được tìm thấy trên các phiên bản ngôn ngữ lập trình Vyper, dẫn đến việc đánh cắp tiền điện tử trị giá hàng triệu USD vào ngày 30 tháng 7.
Một số nhóm sử dụng Vyper 0.2.15, 0.2.16 và 0.3.0 đã bị khai thác do khóa truy cập lại bị trục trặc, nhắm mục tiêu ít nhất bốn nhóm thanh khoản trên giao thức Curve Finance. “Câu trả lời ngắn gọn là mọi thứ có thể bị rút cạn đã bị rút hết. Các nhóm được nhắm mục tiêu là aETH/ETH, msETH/ETH, pETH/ETH và CRV/ETH. Tất cả các nhóm còn lại đều an toàn và không bị ảnh hưởng bởi lỗi này”, Curve Finance cho biết trên Bất hòa.
BlockSec, một công ty kiểm toán cho các hợp đồng thông minh, đã lưu ý rằng việc đăng nhập lại có khả năng đặt tất cả các nhóm có Ether được bao bọc (WETH) vào nguy cơ bị tấn công.
Please note that this reentrancy issue is associated with the use of 'use_eth', which could potentially place the WETH-related pools in jeopardy! @CurveFinance , please DM us if you need any help. https://t.co/vjc1RRce7w pic.twitter.com/Wz8DXJZK7Y
— BlockSec (@BlockSecTeam) July 30, 2023
Vyper là ngôn ngữ lập trình hợp đồng được thiết kế cho Máy ảo Ethereum (EVM) . Nó được coi là một trong những ngôn ngữ lập trình Web3 được sử dụng rộng rãi nhất, có nghĩa là lỗi trong ba phiên bản của nó có thể ảnh hưởng đến một số giao thức khác.
Cuộc tấn công ảnh hưởng đến một số dự án tài chính phi tập trung, với alchemix’s alETH-ETH báo cáo dòng tiền chảy ra là 13,6 triệu USD, nhóm pETH-ETH của PEGd đã rút 11,4 triệu USD, nhóm sETH-ETH của Metronome bị hack 1,6 triệu USD và hơn 32 triệu trong Curve DAO (CRV) các mã thông báo trị giá hơn 22 triệu USD đã cạn kiệt trong vài giờ qua. Sàn giao dịch phi tập trung Ellipsis cũng báo cáo rằng một số lượng nhỏ nhóm ổn định với BNB đã bị khai thác bằng trình biên dịch Vyper cũ.
crv/eth pool drained minutes before a whitehack operation 🙁https://t.co/rhALBzkTEi
— banteg (@bantg) July 30, 2023
Vụ việc cũng ảnh hưởng tiêu cực đến giá của CRV, đã giảm hơn 12% tại thời điểm viết bài ở mức 0,64 USD. Các thành viên cộng đồng cũng ghi nhận hiệu ứng gợn tiềm ẩn đối với giao thức của Aave, vì giá CRV giảm có thể buộc Michael Egorov, người sáng lập Curve, phải thanh lý khoản vay trị giá 70 triệu USD trên Aave.
