Các giao thức Tài Chính Phi Tập Trung (DeFi) đang trải qua một bài kiểm tra căng thẳng sau khi một lỗ hổng nghiêm trọng được tìm thấy trên các phiên bản ngôn ngữ lập trình Vyper, dẫn đến việc đánh cắp tiền điện tử trị giá hàng triệu đô la vào ngày 30 tháng 7.
Một số nhóm sử dụng Vyper 0.2.15, 0.2.16 và 0.3.0 đã bị khai thác do reentrancy lock bị trục trặc, nhắm mục tiêu ít nhất bốn nhóm thanh khoản trên giao thức Curve Finance. “Câu trả lời ngắn gọn là mọi thứ có thể bị rút cạn đã bị rút hết. Các nhóm được nhắm mục tiêu là aETH/ETH, msETH/ETH, pETH/ETH và CRV/ETH. Tất cả các nhóm còn lại đều an toàn và không bị ảnh hưởng bởi lỗi này“, Curve Finance cho biết trên Discord.
BlockSec, một công ty kiểm toán cho các hợp đồng thông minh, đã lưu ý rằng việc đăng nhập lại có khả năng đặt tất cả các nhóm có wrapped Ether (WETH) vào nguy cơ bị tấn công.
Please note that this reentrancy issue is associated with the use of ‘use_eth’, which could potentially place the WETH-related pools in jeopardy! @CurveFinance , please DM us if you need any help. https://t.co/vjc1RRce7w pic.twitter.com/Wz8DXJZK7Y
— BlockSec (@BlockSecTeam) July 30, 2023
Vyper là ngôn ngữ lập trình hợp đồng được thiết kế cho Ethereum Virtual Machine (EVM) . Nó được coi là một trong những ngôn ngữ lập trình Web3 được sử dụng rộng rãi nhất, có nghĩa là lỗi trong ba phiên bản của nó có thể ảnh hưởng đến một số giao thức khác.
Cuộc tấn công ảnh hưởng đến một số dự án tài chính phi tập trung, với alchemix’s alETH-ETH báo cáo dòng tiền chảy ra là 13,6 triệu đô la, nhóm pETH-ETH của PEGd đã rút 11,4 triệu đô la, nhóm sETH-ETH của Metronome bị hack 1,6 triệu đô la và hơn 32 triệu trong Curve DAO (CRV) đã cạn kiệt trong vài giờ qua. Sàn giao dịch phi tập trung Ellipsis cũng báo cáo rằng một số lượng nhỏ nhóm ổn định với BNB đã bị khai thác bằng trình biên dịch Vyper cũ.
crv/eth pool drained minutes before a whitehack operation 🙁https://t.co/rhALBzkTEi
— banteg (@bantg) July 30, 2023
Vụ việc cũng ảnh hưởng tiêu cực đến giá của CRV, đã giảm hơn 12% tại thời điểm viết bài ở mức 0,64 đô la. Các thành viên cộng đồng cũng ghi nhận hiệu ứng gợn tiềm ẩn đối với giao thức của Aave, vì giá CRV giảm có thể buộc Michael Egorov, người sáng lập Curve, phải thanh lý khoản vay trị giá 70 triệu đô la trên Aave.
Michael’s health factor is up to 1.57, with $171 milly of collateral backing a $60 milly loan
Looks like he repayed on abracadabra and some fraxlend stuff too
I think we’re out of the woods, catastrophic liquidation cascadebros https://t.co/XGDduRJc9A
— Andrew T (@Blockanalia) July 30, 2023