Este artículo ordena los ataques en serie causados por la falla del lenguaje de programación Vyper

Autor: Wu Shuo Blockchain

proceso

A las 21:34 del 30 de julio, PeckShield detectó que se sospechaba que el acuerdo de préstamo NFT JPEG'd había sido atacado. A las 21:10, se transfirieron más de 6100 WETH (por un valor aproximado de 11,45 millones de dólares estadounidenses) a la dirección: 0x94…A6Ab . Según Curve Finance, JPEG'd estuvo sujeto a un ataque de reentrada de solo lectura. Actualmente, el precio de pETH en el grupo de pETH-ETH en Curve ha bajado a $383. pETH es un activo derivado de ETH emitido por JPEG'd. JPEG tuiteó que el grupo de curvas pETH-ETH fue atacado, el contrato de bóveda que permite pedir prestado NFT sigue siendo seguro y estable, y los activos de tesorería y NFT no se ven afectados.

22:50 msETH-ETH es atacado.

23:34 alETH-ETH es atacado.

A las 0:44 del 31 de julio, el lenguaje de programación Ethereum Vyper tuiteó que los bloqueos de reingreso de las versiones 0.2.15, 0.2.16 y 0.3.0 de Vyper no eran válidos.

0:45 La publicación oficial de Curve en Twitter indicó que debido a la falla del bloqueo de reingreso, muchos grupos de monedas estables (alETH/msETH/pETH) que usaban Vyper 0.2.15 fueron atacados y otros grupos estaban a salvo.

0:57 Las estadísticas de Paidun se vieron afectadas por esto. El acuerdo de préstamo DeFi Alchemix, el acuerdo de préstamo NFT JPEG'd, el acuerdo de activos sintéticos DeFi MetronomeDAO, el puente de cadena cruzada deBridge y el proyecto DEX Ellipsis en la cadena BNB utilizando el mecanismo Curve sufrieron un pérdida acumulada de más de 26,76 millones de dólares estadounidenses.

2:46 Metronome emitió un documento diciendo que, como medida de precaución, la función principal de Metronome ha sido suspendida.

3:08 CRV-ETH fue atacado, y el CRV más bajo de la cadena cayó a alrededor de 0,08. Sin embargo, dado que el precio de AAVE se tomó de Chainlink, este último no reflejó el precio anormal, por lo que la posición del fundador de Curve, Michael Egorov, en AAVE no fue liquidado.

Según @Super4DeFi, durante este período, algunos arbitrajistas compraron 600 alteth con 0,1 ETH y 1200 alteth con 4 ETH. Alchemix emitió oficialmente un comunicado diciendo que el grupo alETH-ETH perdió 5000 ETH y el alteth actual = 0,7 ETH. OlympusDAO se separó de fraxBP, convirtió la moneda estable del tesoro en 1800 piezas de DAI y la depositó en DSR, y los 7 millones de USDC restantes también se prepararon para intercambiarse por DAI.

A las 7:26, Paidun volvió a contar que la pérdida del incidente de seguridad había superado los 51,95 millones de dólares estadounidenses.

7:50 CRV/ETH El implementador de Pool Mev Bot c0ffeebabe.eth devolvió 2.879,54 ETH al implementador de Curve Finance, por un valor aproximado de 5,39 millones de dólares.

A las 9:37, el intercambio más grande de Corea del Sur, Upbit, anunció que debido al ataque a algunos de los grupos de monedas estables de Curve, CRV fluctuó mucho y los servicios de depósito y retiro de Curve (CRV) se suspendieron.

Otros efectos

Según datos de defillama, Curve Finance TVL disminuyó un 43,6% en 24 horas a US$1,840 millones; Convex Finance TVL disminuyó un 48,5% en 24 horas a US$14,900 millones.

La versión Aave Ethereum v2 ha deshabilitado la función de préstamo de CRV (probablemente para evitar que los comerciantes usen la vulnerabilidad de Curve para entrar en pánico, y el cortocircuito malicioso del CRV prestado provoca la liquidación en serie). Según la propuesta AIP-125 aprobada por la Gobernación de Aave, ante algunas emergencias, el acuerdo puede prohibir la función de endeudamiento de activos específicos. Actualmente hay un suministro de más de 300 millones de CRV en Aave v2 (alrededor del 95 % del suministro del fundador de CRV, Michwill), y solo se han prestado alrededor de 35 millones de CRV.

En la actualidad, el APY de depósitos y préstamos de la materia como USDC, USDT y DAI en Aave ha aumentado significativamente. El APY actual de depósitos y préstamos de USDC sigue siendo superior al 20%, y USDT es superior al 25%. Dado que el hacker de Curve (0xb1...c148) obtuvo una ganancia de 7.193.402 CRV por valor de 4,6 millones de dólares estadounidenses, los usuarios todavía están preocupados por la enorme liquidación de CRV del fundador de Curve, Michwill, y la reacción en cadena (CRV en la cadena una vez cayó a $ 0,08, pero no se incluyeron los oráculos de Chainlink, por lo que no se desencadenaron liquidaciones).

Actualmente Michwill tiene 293.020.675 colateral CRV ($187 millones) y 59.674.100 USDT de deuda en Aave v2, con una línea de liquidación de alrededor de $0,37; Fraxlend tiene 71.107.195 colateral CRV ($445,46 millones) y 21.337.989 deuda FRAX (2130 millones de dólares), liquidación 63.404 ,437 garantía CRV ( $31,9 millones) y 18.787.110 deuda MIM en Abracadabra, línea de liquidación ~$0,39; 25.128.033 colateral CRV ($16 millones) y 7.689.209 deuda DOLA en Inverse, línea de liquidación ~$0,4 $0,4. En las últimas 6 horas, Michwill pagó sucesivamente parte de la deuda.

SlowMist @IM_23pds señaló que la versión recomendada por el documento oficial de Vyper es en realidad una versión defectuosa; Cosine señaló que los errores en la capa de lenguaje del contrato inteligente causaron que fallara la defensa de bloqueo de reentrada de algunos proyectos conocidos, y negro y los piratas informáticos de sombrero blanco y los MEV Bots se volvieron locos Todo tipo de manipulación de reingreso y ejecución frontal se llevaron fondos. Lo que más me asusta es este tipo de vulnerabilidad de la capa base. Afortunadamente, esta vez no es Solidity, sino el menos popular Vyper el que tiene un problema. O incluso más, no es un EVM o un problema de capa más fundamental.