Cet article trie les attaques en série causées par la défaillance du langage de programmation Vyper

Auteur : Wu Shuo Blockchain

processus

À 21 h 34 le 30 juillet, PeckShield a détecté que l'accord de prêt NFT JPEG'd était soupçonné d'être attaqué. À 21 h 10, plus de 6 100 WETH (d'une valeur d'environ 11,45 millions de dollars américains) ont été transférés à l'adresse : 0x94…A6Ab . Selon Curve Finance, JPEG'd a fait l'objet d'une attaque de réentrance en lecture seule. Actuellement, le prix du pETH dans le pool pETH-ETH sur Curve est tombé à 383 $. pETH est un actif dérivé ETH émis par JPEG'd. JPEG'd a tweeté que le pool de courbes pETH-ETH avait été attaqué, le contrat de coffre-fort qui permet d'emprunter NFT est toujours sûr et stable, et les actifs NFT et de trésorerie ne sont pas affectés.

22:50 msETH-ETH est attaqué.

23:34 alETH-ETH est attaqué.

À 0 h 44 le 31 juillet, le langage de programmation Ethereum Vyper a tweeté que les verrous de rentrée des versions 0.2.15, 0.2.16 et 0.3.0 de Vyper n'étaient pas valides.

0:45 Le message Twitter officiel de Curve a déclaré qu'en raison d'un verrou de rentrée défectueux, de nombreux pools de pièces stables (alETH/msETH/pETH) utilisant Vyper 0.2.15 ont été attaqués et que d'autres pools étaient en sécurité.

0:57 Les statistiques de Paidun en ont été affectées. L'accord de prêt DeFi Alchemix, l'accord de prêt NFT JPEG'd, l'accord d'actif synthétique DeFi MetronomeDAO, le pont inter-chaînes deBridge et le projet DEX Ellipsis sur la chaîne BNB utilisant le mécanisme Curve ont subi une perte cumulée de plus de 26,76 millions de dollars américains.

2:46 Metronome a publié un document disant que par mesure de précaution, la fonction de réseau principal Metronome a été suspendue.

3:08 CRV-ETH a été attaqué et le CRV le plus bas de la chaîne est tombé à environ 0, 08. Cependant, comme le prix de l'AAVE a été tiré de Chainlink, ce dernier ne reflétait pas le prix anormal, de sorte que la position du fondateur de Curve, Michael Egorov, dans l'AAVE n'a pas été liquidé.

Selon @Super4DeFi, au cours de cette période, certains arbitragistes ont acheté 600 alteth avec 0,1ETH et 1200 alteth avec 4 ETH. Alchemix a officiellement publié une déclaration disant que le pool alETH-ETH avait perdu 5000 ETH, et l'alteth actuel = 0,7ETH. OlympusDAO s'est séparé de fraxBP, a converti le stablecoin du Trésor en 1800 pièces de DAI et l'a déposé dans DSR, et les 7 millions USDC restants étaient également prêts à être échangés contre DAI.

A 7h26, Paidun a de nouveau compté que la perte de l'incident de sécurité avait dépassé 51,95 millions de dollars américains.

7:50 Le déployeur CRV/ETH Pool Mev Bot c0ffeebabe.eth a renvoyé 2 879,54 ETH au déployeur Curve Finance, d'une valeur d'environ 5,39 millions de dollars.

À 9 h 37, la plus grande bourse de Corée du Sud, Upbit, a annoncé qu'en raison de l'attaque contre certains des pools de pièces stables de Curve, le CRV a considérablement fluctué et les services de dépôt et de retrait de Curve (CRV) ont été suspendus.

Autres effets

Selon les données defillama, Curve Finance TVL a diminué de 43,6 % en 24 heures pour atteindre 1,84 milliard de dollars ; Convex Finance TVL a diminué de 48,5 % en 24 heures pour atteindre 14,9 milliards de dollars.

La version Aave Ethereum v2 a désactivé la fonction d'emprunt CRV (probablement pour empêcher les commerçants d'utiliser la vulnérabilité Curve pour paniquer, et le court-circuit malveillant du CRV emprunté provoque une liquidation en série). Selon la proposition AIP-125 adoptée par la gouvernance de l'Aave, face à certaines urgences, l'accord peut interdire la fonction d'emprunt d'actifs spécifiques. Il y a actuellement plus de 300 millions d'approvisionnement en CRV dans Aave v2 (environ 95% de l'approvisionnement du fondateur de CRV Michwill), et seulement environ 35 millions de CRV ont été prêtés.

À l'heure actuelle, l'APY de dépôt et de prêt des sujets tels que l'USDC, l'USDT et le DAI à Aave a considérablement augmenté. L'APY de dépôt et de prêt actuel de l'USDC est toujours supérieur à 20 % et l'USDT à plus de 25 %. Depuis que le pirate Curve (0xb1...c148) a réalisé un bénéfice de 7 193 402 CRV d'une valeur de 4,6 millions de dollars américains, les utilisateurs s'inquiètent toujours de l'énorme liquidation CRV du fondateur de Curve Michwill et de la réaction en chaîne (CRV sur la chaîne est tombé une fois à 0,08 $, mais les oracles Chainlink n'étaient pas inclus, donc les liquidations n'ont pas été déclenchées).

Actuellement, Michwill a 293 020 675 garanties CRV (187 millions de dollars) et 59 674 100 USDT de dette dans Aave v2, avec une ligne de liquidation d'environ 0,37 $; Fraxlend a 71 107 195 garanties CRV (445,46 millions de dollars) et 21 337 989 dettes FRAX (2130 millions de dollars), liquidation 63 404 437 C Garantie VR ( 31,9 millions de dollars) et 18 787 110 dettes MIM à Abracadabra, ligne de liquidation ~ 0,39 $; 25 128 033 garanties CRV (16 millions de dollars) et 7 689 209 dettes DOLA à Inverse, ligne de liquidation ~ 0,4 $ 0,4 $. Au cours des 6 dernières heures, Michwill a successivement remboursé une partie de la dette.

SlowMist @IM_23pds a souligné que la version recommandée par le document officiel de Vyper est en fait une version défectueuse ; Cosine a souligné que des bogues dans la couche de langage de contrat intelligent ont provoqué l'échec de la défense de verrouillage de rentrée de certains projets bien connus, et noir et les hackers white hat et les MEV Bots sont devenus fous Toutes sortes de manipulations de rentrée et de front-running ont emporté des fonds. Ce qui me fait le plus peur, c'est ce genre de vulnérabilité de la couche de base. Heureusement, cette fois, ce n'est pas Solidity, mais le moins populaire Vyper qui a un problème. Ou même plus loin, ce n'est pas un problème de couche EVM ou quelque chose de plus fondamental.