- الموضوع
88k درجة الشعبية
42k درجة الشعبية
14k درجة الشعبية
4k درجة الشعبية
5k درجة الشعبية
29k درجة الشعبية
16k درجة الشعبية
22k درجة الشعبية
13k درجة الشعبية
3k درجة الشعبية
- تثبيت
88k درجة الشعبية
42k درجة الشعبية
14k درجة الشعبية
4k درجة الشعبية
5k درجة الشعبية
29k درجة الشعبية
16k درجة الشعبية
22k درجة الشعبية
13k درجة الشعبية
3k درجة الشعبية
تفرز هذه المقالة الهجمات التسلسلية الناتجة عن فشل لغة البرمجة Vyper
المؤلف: Wu Shuo Blockchain
عملية
في الساعة 21:34 يوم 30 يوليو ، اكتشفت PeckShield أن اتفاقية إقراض NFT JPEG كان يشتبه في تعرضها للهجوم. في الساعة 21:10 ، تم تحويل أكثر من 6100 WETH (بقيمة حوالي 11.45 مليون دولار أمريكي) إلى العنوان: 0x94 ... A6Ab . وفقًا لـ Curve Finance ، تعرض JPEG لهجوم عودة للقراءة فقط. حاليًا ، انخفض سعر pETH في تجمع pETH-ETH على Curve إلى 383 دولارًا. pETH هو أصل مشتق من ETH صادر عن JPEG'd. قام JPEG بتغريد أن تجمع منحنى pETH-ETH قد تعرض للهجوم ، وعقد القبو الذي يسمح باقتراض NFT لا يزال آمنًا ومستقرًا ، ولا تتأثر أصول NFT والخزانة.
تم مهاجمة 22:50 msETH-ETH.
23:34 هجوم alETH-ETH.
في الساعة 0:44 يوم 31 يوليو ، غردت لغة برمجة Ethereum Vyper بأن أقفال إعادة الدخول لإصدارات Vyper 0.2.15 و 0.2.16 و 0.3.0 كانت غير صالحة.
ذكر منشور Twitter الرسمي لـ 0:45 من Curve أنه نظرًا لقفل إعادة الدخول الخاطئ ، تم مهاجمة العديد من تجمعات العملات المستقرة (alETH / msETH / pETH) باستخدام Vyper 0.2.15 ، وكانت المسابح الأخرى آمنة.
0:57 تأثرت إحصاءات Paidun بهذا. عانت اتفاقية إقراض DeFi Alchemix ، واتفاقية إقراض NFT JPEG'd ، واتفاقية الأصول الاصطناعية DeFi MetronomeDAO ، والجسر المتقاطع deBridge ، ومشروع DEX Ellipsis على سلسلة BNB باستخدام آلية المنحنى خسارة تراكمية تزيد عن 26.76 مليون دولار أمريكي.
2:46 أصدر Metronome وثيقة تقول أنه كإجراء احترازي ، تم تعليق وظيفة Metronome mainnet.
3:08 تم مهاجمة CRV-ETH ، وانخفض أدنى CRV في السلسلة إلى حوالي 0.08. ومع ذلك ، نظرًا لأن سعر AAVE مأخوذ من Chainlink ، فإن الأخير لم يعكس السعر غير الطبيعي ، لذلك وضع مؤسس Curve Michael Egorov في AAVE لم تتم تصفيته.
وفقًا لـ @ Super4DeFi ، خلال هذه الفترة ، قام بعض المراجعين بشراء 600 alteth مع 0.1ETH و 1200 alteth مع 4 ETH. أصدر Alchemix رسميًا بيانًا قال فيه أن تجمع alETH-ETH خسر 5000 ETH ، والارتفاع الحالي = 0.7ETH. انفصل OlympusDAO عن fraxBP ، وقام بتحويل العملة المستقرة للخزانة إلى 1800 قطعة من DAI ، وقام بإيداعها في DSR ، وتم أيضًا تجهيز الـ 7 ملايين دولار أمريكي المتبقية لاستبدالها بـ DAI.
في الساعة 7:26 ، أحصى بيدون مرة أخرى أن الخسائر في الحادث الأمني تجاوزت 51.95 مليون دولار أمريكي.
7:50 CRV / ETH Pool Mev Bot الموزع c0ffeebabe.eth أعاد 2،879.54 ETH إلى شركة Curve Finance ، بقيمة حوالي 5.39 مليون دولار.
في الساعة 9:37 ، أعلنت أكبر بورصة في كوريا الجنوبية ، Upbit ، أنه بسبب الهجوم على بعض مجموعات عملات Curve المستقرة ، تقلبت CRV بشكل كبير ، وتم تعليق خدمات الإيداع والسحب من Curve (CRV).
تأثيرات أخرى
وفقًا لبيانات ديفيلاما ، انخفضت Curve Finance TVL بنسبة 43.6٪ خلال 24 ساعة لتصل إلى 1.84 مليار دولار أمريكي ؛ وانخفضت شركة Convex Finance TVL بنسبة 48.5٪ خلال 24 ساعة لتصل إلى 14.9 مليار دولار أمريكي.
قام إصدار Aave Ethereum v2 بتعطيل وظيفة استعارة CRV (ربما لمنع المتداولين من استخدام ثغرة Curve للذعر ، ويؤدي الاختصار الخبيث في CRV المقترض إلى تصفية متسلسلة). وفقًا للاقتراح AIP-125 الذي أقرته إدارة Aave ، في مواجهة بعض حالات الطوارئ ، يمكن أن تحظر الاتفاقية وظيفة الاقتراض لأصول محددة. يوجد حاليًا أكثر من 300 مليون توريد CRV في Aave v2 (حوالي 95 ٪ من إمداد مؤسس CRV Michwill) ، وتم إقراض حوالي 35 مليون CRV فقط.
في الوقت الحالي ، زاد إيداع وإقراض APY لموضوع معين مثل USDC و USDT و DAI في Aave بشكل ملحوظ.لا يزال إيداع USDC الحالي وإقراض APY أكثر من 20٪ ، و USDT أكثر من 25٪. منذ أن حقق Curve hacker (0xb1 ... c148) ربحًا قدره 7،193،402 CRV بقيمة 4.6 مليون دولار أمريكي ، لا يزال المستخدمون قلقين بشأن تصفية CRV الضخمة لمؤسس Curve Michwill والتفاعل المتسلسل (CRV على السلسلة انخفض مرة واحدة إلى 0.08 دولار ، لكن لم يتم تضمين أوراكل تشين لينك ، لذلك لم يتم بدء عمليات التصفية).
تمتلك Michwill حاليًا 293،020،675 ضمانات CRV (187 مليون دولار) و 59،674،100 USDT في Aave v2 ، مع خط تصفية يبلغ حوالي 0.37 دولار ؛ Fraxlend لديها 71،107،195 ضمانات CRV (445.46 مليون دولار) و 21،337،989 دين FRAX (2130 مليون دولار) ، التصفية 63،404 CRV 31.9 مليون دولار) و 18،787،110 ديون MIM في أبراكادابرا ، خط التصفية ~ 0.39 دولار ؛ 25،128،033 ضمانات CRV (16 مليون دولار) و 7.689،209 ديون DOLA في خط التصفية المعكوس ~ 0.4 دولار. في الساعات الست الماضية ، دفعت ميتشويل على التوالي جزءًا من الدين.
أشار SlowMistIM \ _23pds إلى أن النسخة التي أوصت بها وثيقة Vyper الرسمية هي في الواقع نسخة معيبة ؛ وأشار Cosine إلى أن الأخطاء في طبقة لغة العقد الذكية تسببت في فشل دفاع قفل إعادة الدخول لبعض المشاريع المعروفة ، والأسود والأسود أصبح قراصنة القبعة البيضاء و MEV Bots مجنونين. جميع أنواع التلاعب في إعادة الدخول والتشغيل الأمامي سلبت الأموال. أكثر ما أخاف منه هو هذا النوع من ضعف الطبقة الأساسية. لحسن الحظ ، هذه المرة ليست Solidity ، ولكن Vyper الأقل شعبية هي التي لديها مشكلة. أو حتى أبعد من ذلك ، إنها ليست مشكلة أساسية في القيمة الافتراضية أو مشكلة أساسية.