- Giám đốc điều hành Binance đảm bảo với người dùng rằng Binance không bị ảnh hưởng bởi các cuộc tấn công DeFi gần đây.
- Số tiền điện tử trị giá hàng triệu đô la đã bị đánh cắp thông qua lỗi truy cập lại Vyper trong nhóm thanh khoản của Curve Finance.
- Các phiên bản Vyper 0.2.15, 0.2.16 và 0.3.0 dễ bị tổn thương đã được xác định, thúc giục hành động ngay lập tức từ các dự án bị ảnh hưởng.
Trước các cuộc tấn công gần đây vào các giao thức tài chính phi tập trung (DeFi), Giám đốc điều hành Binance, Changpeng Zhao, đã lên mạng xã hội để trấn an người dùng Binance rằng tiền của họ được bảo mật và sẽ không bị ảnh hưởng bởi các vấn đề bảo mật đang diễn ra.
Các cuộc tấn công nhắm vào Liquidity Pools trên Curve , một nền tảng Automated Market Maker phổ biến, dẫn đến việc đánh cắp tiền điện tử trị giá hàng triệu đô la. Những kẻ tấn công đã khai thác một lỗ hổng trong Vyper, một ngôn ngữ lập trình thay thế cho các hợp đồng thông minh Ethereum, theo tiết lộ của Curve trên Twitter.
In addition, crvUSD contracts and any pools with it are also not affected. This is implied in the tweet but still https://t.co/YSRKBVA7Fd
— Curve Finance (@CurveFinance) July 30, 2023
Tuy nhiên, nhóm Binance đã xác nhận rằng chỉ các phiên bản 0.3.7 trở lên của Vyper mới được sử dụng trên nền tảng của họ, đảm bảo bảo vệ người dùng của họ.
CEX price feed saves DeFi. ??♂️
Binance users are not affected. Our team checked on the Vyper Reentrant Vulnerability. We only use version 0.3.7 or above.
It’s important to stay up-to-date with code libraries, apps and OS. And stay #SAFU ? https://t.co/0GFv86KP9R
— CZ ? Binance (@cz_binance) July 31, 2023
Lỗ hổng được đề cập là lỗi “re-entrancy” trong Vyper, ảnh hưởng đến các phần của hệ thống Curve. Lỗi này cho phép những kẻ tấn công rút tiền từ một số nhóm stablecoin trên Curve Finance, dẫn đến thiệt hại hơn 50 triệu đô la. Hơn nữa, Ancilia, một công ty bảo mật, đã tiến hành phân tích và xác định các hợp đồng bị ảnh hưởng. Họ phát hiện ra rằng 136 hợp đồng đã sử dụng Vyper 0.2.15 với tính năng bảo vệ reentrant, 98 hợp đồng sử dụng Vyper 0.2.16 và 226 hợp đồng sử dụng Vyper 0.3.0, tất cả đều dễ bị tấn công.
Theo cuộc điều tra, một số phiên bản nhất định của trình biên dịch Vyper đã không triển khai đúng cách bảo vệ reentrancy, một cơ chế quan trọng để ngăn chặn nhiều chức năng được thực thi đồng thời trong một hợp đồng. Sự giám sát này đã kích hoạt các cuộc tấn công reentrancy, trong đó tin tặc có khả năng rút hết tiền từ các hợp đồng được nhắm mục tiêu.
Vyper , một ngôn ngữ lập trình hướng hợp đồng và Pythonic, được sử dụng để nhắm mục tiêu Ethereum Virtual Machine (EVM). Sự tương đồng của nó với Python đã khiến nó trở thành một lựa chọn hấp dẫn đối với các nhà phát triển đang chuyển sang môi trường Web3.
Một số dự án DeFi ngoài Curve Finance cũng bị ảnh hưởng bởi các cuộc tấn công. Ellipsis, một sàn giao dịch phi tập trung, đã báo cáo rằng một số lượng hạn chế các nhóm ổn định sử dụng BNB đã bị khai thác do phiên bản trình biên dịch Vyper cũ hơn.
A small number of stablepools with BNB using an old Vyper compiler have been exploited.
We are assessing the situation and will update the community on any further findings. https://t.co/pxkhRRSr5w
— Ellipsis (@Ellipsisfi) July 30, 2023
Để đối phó với vi phạm bảo mật, Vyper khuyên tất cả các dự án dựa trên các phiên bản dễ bị tổn thương (0.2.15, 0.2.16 và 0.3.0) liên hệ với họ ngay lập tức. Trong khi đó, cuộc điều tra về các cuộc tấn công vẫn tiếp tục và cộng đồng DeFi vẫn cảnh giác để bảo vệ chống lại việc khai thác thêm.
Khi không gian DeFi phát triển, việc duy trì cơ sở mã, ứng dụng và hệ điều hành cập nhật trở thành điều tối quan trọng để đảm bảo tính bảo mật cho tiền của người dùng và sự ổn định tổng thể của các giao thức tài chính phi tập trung.
