هناك ثغرات أمنية في بعض إصدارات لغة Vyper ، وقد تم مهاجمة مشاريع مثل Curve

في 30 يوليو ، بتوقيت بكين ، وُجد أن بعض إصدارات لغة برمجة العقود الذكية Vyper بها نقاط ضعف خطيرة ، وبالتالي تعرضت بعض المشاريع المهمة بما في ذلك Curve Finance للهجوم.

وفقًا لإعلان Twitter عن Vyper ، لغة برمجة عقد Ethereum الذكية ، فإن ثلاثة من إصداراتها - 0.2.15 و 0.2.16 و 0.3.0 - بها نقاط ضعف خطيرة قد تعطل أقفال إعادة الدخول الخاصة بهم. بالنسبة لمشروعات blockchain ، قد تتسبب هذه المشكلة في مقاطعة عملية تنفيذ العقد أو تؤدي إلى نتائج غير متوقعة ، مما يؤثر على استقرار النظام بأكمله. في الإعلان ، يوصي فريق Vyper بشدة أن تتصل جميع المشاريع التي تستخدم هذه الإصدارات المتأثرة بها فورًا للحصول على الدعم الفني والحلول في الوقت المناسب.

ومع ذلك ، فإن تأثير هذه الثغرة الأمنية قد حدث بالفعل. قام فريق Curve بالتغريد بعد دقيقة أن بعض المجموعات الثابتة التي تستخدم الإصدار 0.2.15 من Vyper ، بما في ذلك alETH و msETH و pETH ، قد عانت من هجمات إلكترونية بسبب فشل وظيفة قفل إعادة الدخول. تسمح هذه الثغرة الأمنية للمهاجمين بتنفيذ وظائف معينة عدة مرات في معاملة واحدة ، مما قد يتسبب في أضرار جسيمة لمشاريع blockchain ذات الصلة.

يعد فريق Curve أيضًا بأن التجمعات الأخرى آمنة ، ولم يتم ملاحظة هذه الثغرة الأمنية مطلقًا خلال عملية التطوير السابقة حتى اليوم. انخفض رمز Curve أيضًا في نفس الوقت ، حيث خسر 15.45٪ خلال اليوم.

! [هناك ثغرات في بعض إصدارات لغة Vyper ، وتم مهاجمة مشاريع مثل Curve] (https://piccdn.0daily.com/202307/30231910/d8i4rjfnv2vy1pan.png!webp)!

بيان كيرف على تويتر.

تأثرت عدة مشاريع. وفقًا لـ Supremacy ، مراقب البيانات على السلسلة ، تأثر اتفاق تعهد NFT JPEG بضعف إعادة الدخول ، ووصلت الأصول المسروقة إلى حوالي 10 ملايين دولار أمريكي. بعد ذلك مباشرة ، قام Paidun و Hexagate ، وهما حسابان أمنيان آخران على السلسلة ، بالتغريد أيضًا على @ JPEG'd project party ، بدعوى أن المعاملة كانت معاملة متسلل. تسبب هذا الحادث في انخفاض قيمة الرمز المميز لـ JPEG'd ، من مستوى ثابت من حوالي 0.00062 إلى 0.0003 ، وقد تعافى الآن إلى 0.00049 ، وهو انخفاض في يوم واحد بنسبة 21.63٪.

! [هناك ثغرات في بعض إصدارات لغة Vyper ، وتم مهاجمة مشاريع مثل Curve] (https://piccdn.0daily.com/202307/30231910/vhzuetce4mfllrvd.png!webp)

سعر الرمز المميز لـ JPEG. المصدر: Coinmarketcap

استجاب مشروع JPEG'd أيضًا بعد إصدار Curve ، مدعيا أن "بروتوكولنا ليس ضمن نطاق حادث القرصنة هذا ، ومطورونا أقوياء للغاية."

بالإضافة إلى ذلك ، تأثر طرفان آخران بالمشروع أيضًا: وفقًا لـ Hexagate ، تعرض مشروع الإقراض AlchemixFi وبروتوكول DeFi MetronomeDAO للهجوم أيضًا ، وحقق المهاجمون ما مجموعه 13 مليون دولار و 1.6 مليون دولار من الأرباح. أصدر كلا المشروعين بيانات في المرة الأولى ، وادعت Alchemix أنها لاحظت حادث القرصنة ، مما قد يؤدي إلى عدم استقرار أسعار توكنات المشروع ، واقترحت أن تقوم LP بسحب السيولة من المجمع بأسرع ما يمكن.

صرح MetronomeDAO ، "يجب على أي مزود يوفر السيولة على أزواج MSUSD ، ومستخدمي التفاؤل الذين يتفاعلون مع msETH على Velodrome ، ملاحظة أن مراكزهم لا تتأثر. بالإضافة إلى ذلك ، لا تتأثر جميع ودائع Metronome والمراكز المفتوحة. تتأثر بهذا الحادث."