Il existe des vulnérabilités dans certaines versions du langage Vyper et des projets tels que Curve ont été attaqués

Le 30 juillet, heure de Pékin, certaines versions du langage de programmation de contrats intelligents Vyper se sont révélées présenter de sérieuses vulnérabilités, et certains projets importants, dont Curve Finance, ont donc été attaqués.

Selon l'annonce Twitter de Vyper, le langage de programmation de contrat intelligent Ethereum, trois de ses versions - 0.2.15, 0.2.16 et 0.3.0 - présentent de graves vulnérabilités qui peuvent désactiver leurs verrous de réentrance. Pour les projets blockchain, ce problème peut entraîner l'interruption du processus d'exécution du contrat ou produire des résultats imprévisibles, affectant ainsi la stabilité de l'ensemble du système. Dans l'annonce, l'équipe Vyper recommande fortement à tous les projets utilisant ces versions concernées de les contacter immédiatement pour obtenir une assistance technique et des solutions en temps opportun.

Cependant, l'impact de cette vulnérabilité s'est déjà produit. L'équipe Curve a tweeté une minute plus tard que certains pools stables utilisant la version 0.2.15 de Vyper, notamment alETH, msETH et pETH, avaient subi des cyberattaques en raison de l'échec de la fonction de verrouillage de rentrée. Cette vulnérabilité permet aux attaquants d'exécuter certaines fonctions plusieurs fois dans une seule transaction, causant potentiellement des dommages importants aux projets de blockchain associés.

L'équipe Curve promet également que d'autres pools sont sûrs, et cette vulnérabilité n'a jamais été remarquée au cours du processus de développement précédent jusqu'à aujourd'hui. Le jeton de Curve a également chuté au même moment, perdant 15,45 % sur la journée.

 !

Déclaration Twitter de Curve.

Plusieurs projets ont été touchés. Selon Supremacy, un moniteur de données en chaîne, l'accord de gage NFT JPEG'd a été affecté par la vulnérabilité de réentrance, et les actifs volés ont atteint environ 10 millions de dollars américains. Immédiatement après, Paidun et Hexagate, deux autres comptes de sécurité de la chaîne, ont également tweeté @JPEG'd project party, affirmant que la transaction était une transaction de piratage. Cet incident a fait plonger la valeur symbolique de JPEG'd, d'un niveau stable d'environ 0,00062 à 0,0003, et maintenant elle est remontée à 0,00049, une baisse d'un jour de 21,63 %.

Prix du jeton JPEG. Source : Coinmarketcap

Le projet JPEG'd a également répondu après la sortie de Curve, affirmant que "notre protocole n'est pas dans le cadre de cet incident de piratage, et nos développeurs sont très puissants".

En outre, deux autres parties du projet ont également été touchées : selon Hexagate, le projet de prêt AlchemixFi et le protocole DeFi MetronomeDAO ont également été attaqués, et les attaquants ont réalisé un total de 13 millions de dollars et 1,6 million de dollars de bénéfices. Les deux projets ont publié des déclarations pour la première fois. Alchemix a affirmé avoir remarqué l'incident de piratage, qui pourrait entraîner une instabilité du prix des jetons de projet, et a suggéré que LP retire des liquidités du pool dès que possible.

MetronomeDAO a déclaré: "Tout fournisseur fournissant des liquidités sur des paires msUSD et les utilisateurs d'Optimism interagissant avec msETH sur Velodrome doivent noter que leurs positions ne sont pas affectées. De plus, tous les dépôts et positions ouvertes de Metronome ne sont pas affectés par cet incident."