Một lỗ hổng trong ngôn ngữ lập trình Vyper được sử dụng rộng rãi bởi các giao thức DeFi như Curve Finance đã dẫn đến việc khai thác nhiều Pool thanh khoản Curve vào Chủ nhật.
Một số thanh khoản WSGDOODGLW của Curve Finance đã bị tấn công vào ngày 30 tháng 7 do lỗ hổng được tìm thấy trong ngôn ngữ lập trình Vyper. Vyper là ngôn ngữ lập trình hợp đồng được tạo cho Máy ảo Ethereum (EVM).
Curve Finance là một trong những giao thức tài chính phi tập trung (DeFi) quan trọng do các dịch vụ thanh khoản chính mà nó cung cấp, do đó, lỗ hổng mã đã khiến tài sản kỹ thuật số trị giá gần 100 triệu đô la gặp rủi ro.
Lỗ hổng được tìm thấy trong phiên bản 0.2.15, 0.2.16 và 0.3.0 dẫn đến khóa truy cập lại bị trục trặc. Kết quả là, hàng triệu đô la đã bị rút khỏi bốn Curve Pool là aETH/ETH, msETH/ETH, pETH/ETH và CRV/ETH. Lỗ hổng trong ba biến thể của nó có thể ảnh hưởng đến một số giao thức khác.
Please note that this reentrancy issue is associated with the use of 'use_eth', which could potentially place the WETH-related pools in jeopardy! @CurveFinance , please DM us if you need any help. https://t.co/vjc1RRce7w pic.twitter.com/Wz8DXJZK7Y
— BlockSec (@BlockSecTeam) July 30, 2023
Giá của Token gốc của Curve Finance (CRV) đã sụp đổ trên thị trường DeFi do một số Pool của nó bị cạn kiệt đáng kể, tuy nhiên, cuối cùng nó đã được cứu bởi nguồn cấp dữ liệu giá của nền tảng giao dịch tập trung. Giá CRV đạt 0,086 đô la trên nền tảng giao dịch phi tập trung (DEX) nhưng được giao dịch ở mức 0,60 đô la trên nền tảng giao dịch tập trung (CEX), do đó giúp giá của Token gốc không bị giảm xuống 0.
Curve Pool sử dụng hệ thống tiên tri Chainlink kết hợp một số nguồn cấp dữ liệu giá bao gồm cả nền tảng giao dịch tập trung. Nếu không có nguồn cung cấp giá CEX, Curve Finance sẽ sụp đổ. Sự cố trớ trêu này đã thu hút sự chú ý của Giám đốc điều hành Binance Changpeng Zhao, người cũng cười khúc khích khi biết rằng cuối cùng, chính nguồn cung cấp giá Cex đã cứu hệ sinh thái DeFi.
Zho lưu ý rằng Binane không bị ảnh hưởng bởi lỗ hổng Vyper vì nền tảng giao dịch tiền điện tử đã cập nhật mã lên phiên bản mới nhất và nhắc nhở mọi người về tầm quan trọng của việc nâng cấp thư viện mã.
CEX price feed saves DeFi. ♂️
— CZ Binance (@cz_binance) July 31, 2023
Binance users are not affected. Our team checked on the Vyper Reentrant Vulnerability. We only use version 0.3.7 or above.
It's important to stay up-to-date with code libraries, apps and OS. And stay #SAFU https://t.co/0GFv86KP9R
Lỗi trong các phiên bản trước của mã Vyper được cho là đã tồn tại ít nhất 1,5 năm và kẻ khai thác được cho là đã đào *sâu* lịch sử phát hành để tìm ra một vấn đề có thể khai thác đối với một giao thức lớn với hàng triệu cổ phần đặt cược. Một cộng tác viên của chương trình Vyper trên Twitter gợi ý lượng thời gian và tài nguyên đưa vào khai thác cho thấy đây có thể là một cuộc tấn công do nhà nước bảo trợ.
Thu thập bài viết này dưới dạng NFT để lưu giữ khoảnh khắc này trong lịch sử và thể hiện sự ủng hộ của bạn đối với hoạt động báo chí độc lập trong không gian tiền điện tử.
Tạp chí: Các dự án tiền điện tử có nên đàm phán với tin tặc không? Có lẽ
Theo CoinTelegraph
|
Tags: Curve Tài Chính, Thanh Khoản, Tin Tặc, Hack,