Existen vulnerabilidades en algunas versiones del lenguaje Vyper, y proyectos como Curve han sido atacados

El 30 de julio, hora de Beijing, se descubrió que algunas versiones del lenguaje de programación de contratos inteligentes Vyper tenían vulnerabilidades graves y, por lo tanto, se atacaron algunos proyectos importantes, incluido Curve Finance.

Según el anuncio de Twitter de Vyper, el lenguaje de programación de contratos inteligentes de Ethereum, tres de sus versiones, 0.2.15, 0.2.16 y 0.3.0, tienen vulnerabilidades graves que pueden desactivar sus bloqueos de reingreso. Para los proyectos de blockchain, este problema puede causar que el proceso de ejecución del contrato se interrumpa o produzca resultados impredecibles, afectando así la estabilidad de todo el sistema. En el anuncio, el equipo de Vyper recomienda encarecidamente que todos los proyectos que utilicen estas versiones afectadas se comuniquen con ellos de inmediato para obtener asistencia técnica y soluciones oportunas.

Sin embargo, el impacto de esta vulnerabilidad ya se ha producido. El equipo de Curve tuiteó un minuto después que algunos grupos estables que utilizan la versión 0.2.15 de Vyper, incluidos alETH, msETH y pETH, sufrieron ataques cibernéticos debido a la falla de la función de bloqueo de reingreso. Esta vulnerabilidad permite a los atacantes ejecutar ciertas funciones varias veces en una sola transacción, lo que podría causar un daño significativo a los proyectos de cadena de bloques relacionados.

El equipo de Curve también promete que otros grupos son seguros, y esta vulnerabilidad nunca se ha notado durante el proceso de desarrollo anterior hasta hoy. El token de Curve también se desplomó al mismo tiempo, perdiendo un 15,45% en el día.

!

Declaración de Curve en Twitter.

Varios proyectos se vieron afectados. Según Supremacy, un monitor de datos en cadena, el acuerdo de compromiso NFT JPEG'd se vio afectado por la vulnerabilidad de reingreso, y los activos robados alcanzaron los 10 millones de dólares estadounidenses. Inmediatamente después, Paidun y Hexagate, otras dos cuentas de seguridad en la cadena, también tuitearon la fiesta del proyecto de @JPEG, alegando que la transacción fue una transacción de piratas informáticos. Este incidente hizo que el valor del token de JPEG'd cayera, desde un nivel estable de alrededor de 0,00062 a 0,0003, y ahora se recuperó a 0,00049, una caída de un día del 21,63 %.

Precio del token en formato JPEG. Fuente: Coinmarketcap

El proyecto JPEG'd también respondió después del lanzamiento de Curve, afirmando que "nuestro protocolo no está dentro del alcance de este incidente de piratería y nuestros desarrolladores son muy poderosos".

Además, otras dos partes del proyecto también se vieron afectadas: según Hexagate, el proyecto de préstamo AlchemixFi y el protocolo DeFi MetronomeDAO también fueron atacados, y los atacantes obtuvieron un total de $ 13 millones y $ 1,6 millones en ganancias. Ambos proyectos emitieron declaraciones por primera vez. Alchemix afirmó haber notado el incidente de piratería, lo que puede generar inestabilidad en el precio de los tokens del proyecto, y sugirió que LP retire la liquidez del grupo lo antes posible.

MetronomeDAO declaró: "Cualquier proveedor que proporcione liquidez en pares de msUSD y usuarios de Optimism que interactúen con msETH en Velodrome, deben tener en cuenta que sus posiciones no se ven afectadas. Además, todos los depósitos de Metronome y las posiciones abiertas no se ven afectados por este incidente".