Một số Pool ổn định trên Curve Finance sử dụng Vyper đã bị khai thác vào ngày 30 tháng 7. Các phiên bản Vyper 0.2.15, 0.2.16 và 0.3.0 dễ bị trục trặc đối với khóa truy cập lại.
Cập nhật (ngày 30 tháng 7, lúc 7:55 tối UTC): Bài viết này đã được cập nhật để cung cấp thêm chi tiết về vụ khai thác
Một số Pool ổn định trên Curve Finance sử dụng Vyper đã bị khai thác vào ngày 30 tháng 7, với khoản lỗ lên tới hơn 47 triệu USD. Theo Vyper, các phiên bản 0.2.15, 0.2.16 và 0.3.0 của nó dễ bị trục trặc với khóa truy cập lại.
"Cuộc điều tra đang diễn ra nhưng bất kỳ dự án nào dựa trên các phiên bản này nên liên hệ ngay với chúng tôi," Vyper viết trên X. Dựa trên phân tích các hợp đồng bị ảnh hưởng bởi công ty bảo mật Ancilia, 136 hợp đồng đã sử dụng Vyper 0.2.15 với tính năng bảo vệ người đăng ký lại, 98 hợp đồng đã sử dụng Vyper 0.2.16 và 226 hợp đồng đã sử dụng Vyper 0.3.0.
A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.
— Curve Finance (@CurveFinance) July 30, 2023
Other pools are safe. https://t.co/eWy2d3cDDj
Theo điều tra ban đầu, một số phiên bản của trình biên dịch Vyper không triển khai chính xác tính năng bảo vệ vào lại, điều này ngăn nhiều chức năng được thực thi cùng lúc bằng cách khóa hợp đồng. Các cuộc tấn công vào lại có khả năng rút hết tiền từ một hợp đồng.
Vyper là một ngôn ngữ lập trình Pythonic hướng đến hợp đồng nhắm mục tiêu Máy ảo Ethereum (EVM). Những điểm tương đồng của Vyper với Python khiến ngôn ngữ này trở thành một trong những điểm khởi đầu cho các nhà phát triển Python nhảy vào Web3.
Một số dự án tài chính phi tập trung đã bị ảnh hưởng bởi cuộc tấn công. Nền tảng giao dịch phi tập trung Ellipsis đã báo cáo rằng một số lượng nhỏ Pool ổn định với BNB đã bị khai thác bằng trình biên dịch Vyper cũ. Alchemix's alETH-ETH cũng chứng kiến 13,6 triệu đô la chảy ra, cùng với 11,4 triệu đô la được khai thác trên JPEGd pETH-ETH Pool và 1,6 triệu đô la trong Metronome sETH-ETH Pool. Giám đốc điều hành của Curving Finance, Michael Egorov sau đó đã xác nhận 32 triệu Token CRV trị giá hơn 22 triệu đô la đã bị rút khỏi giao dịch hoán đổi Pool trong một kênh Telegram.
Certain type of Curve factory pool is encountering read-only reentrancy attack and causing a total loss of $11m(@JPEGd_69) + $13m(@AlchemixFi) + ...
— Tony KΞ (@tonyke_bot) July 30, 2023
Initial investigation founds that vyper compiler (0.2.15) doesn't implement the reentrancy guard correctly.
add_liquidity and… pic.twitter.com/avaHdtSFsm
Việc khai thác đã gây ra sự hoảng loạn trên toàn hệ sinh thái DeFi, thúc đẩy làn sóng giao dịch trên Pool và chiến dịch giải cứu đội mũ trắng. Dữ liệu từ CoinMarketCap cho thấy Token tiện ích Curve DAO (CRV) của Curve Finance giảm hơn 5% do phản ứng với tin tức. Cointelegraph đưa tin, tính thanh khoản của CRV đã giảm đáng kể trong những tháng gần đây, khiến nó dễ bị biến động giá mạnh. Theo Curve Finance, các hợp đồng crvUSD và bất kỳ Pool nào với nó không bị ảnh hưởng bởi cuộc tấn công.
Curve Finance là một giao thức DeFi cho phép nền tảng giao dịch phi tập trung (DEX) của stablecoin trong Ethereum. Giao thức đã được nhắm mục tiêu bởi một loạt các sự cố trong hệ sinh thái của nó. Chỉ vài ngày trước, nền tảng omniPool Conic Finance của nó đã bị khai thác với giá trị 3,26 triệu đô la Ether (ETH), với gần như toàn bộ số tiền bị đánh cắp được gửi đến một địa chỉ Ethereum mới chỉ trong một giao dịch.
Các giao thức DeFi đã trở thành mục tiêu của nhiều cuộc tấn công trong những tháng qua. Theo báo cáo của ứng dụng danh mục đầu tư Web3 De.Fi, hơn 204 triệu đô la đã bị lừa đảo thông qua các vụ hack và lừa đảo DeFi chỉ trong quý 2 năm 2023.
Tạp chí: Các dự án tiền điện tử có nên đàm phán với tin tặc không? Có lẽ
Theo CoinTelegraph
|
Tags: Hacker, Hacks, Curve Finance,