Ada kerentanan di beberapa versi bahasa Vyper, dan proyek seperti Curve telah diserang

Pada tanggal 30 Juli, waktu Beijing, beberapa versi bahasa pemrograman kontrak pintar Vyper ditemukan memiliki kerentanan serius, dan oleh karena itu beberapa proyek penting termasuk Curve Finance diserang.

Menurut pengumuman Twitter Vyper, bahasa pemrograman kontrak cerdas Ethereum, tiga versinya — 0.2.15, 0.2.16, dan 0.3.0 — memiliki kerentanan serius yang dapat menonaktifkan kunci reentrancy mereka. Untuk proyek blockchain, masalah ini dapat menyebabkan proses eksekusi kontrak terganggu atau menghasilkan hasil yang tidak dapat diprediksi, sehingga mempengaruhi stabilitas keseluruhan sistem. Dalam pengumuman tersebut, tim Vyper sangat menyarankan agar semua proyek yang menggunakan versi yang terpengaruh ini harus segera menghubungi mereka untuk mendapatkan dukungan teknis dan solusi tepat waktu.

Namun, dampak dari kerentanan ini telah terjadi. Tim Curve men-tweet semenit kemudian bahwa beberapa kumpulan stabil yang menggunakan Vyper versi 0.2.15, termasuk alETH, msETH, dan pETH, telah mengalami serangan dunia maya karena kegagalan fungsi kunci masuk kembali. Kerentanan ini memungkinkan penyerang untuk menjalankan fungsi tertentu berkali-kali dalam satu transaksi, berpotensi menyebabkan kerusakan signifikan pada proyek blockchain terkait.

Tim Curve juga menjanjikan bahwa kumpulan lain aman, dan kerentanan ini tidak pernah diperhatikan selama proses pengembangan sebelumnya hingga saat ini. Token Curve juga anjlok pada saat yang sama, kehilangan 15,45% pada hari itu.

!

Pernyataan Twitter Curve.

Beberapa proyek terkena dampaknya. Menurut Supremacy, monitor data on-chain, perjanjian janji NFT JPEG dipengaruhi oleh kerentanan reentrancy, dan aset yang dicuri telah mencapai sekitar 10 juta dolar AS. Segera setelah itu, Paidun dan Hexagate, dua akun keamanan lainnya di jaringan, juga men-tweet pihak proyek @JPEG, mengklaim bahwa transaksi tersebut adalah transaksi peretas. Insiden ini menyebabkan nilai token JPEG anjlok, dari level stabil sekitar 0,00062 menjadi 0,0003, dan sekarang telah pulih ke 0,00049, penurunan satu hari sebesar 21,63%.

Harga token JPEG. Sumber: Coinmarketcap

Proyek JPEG juga merespons setelah rilis Curve, mengklaim bahwa "protokol kami tidak berada dalam cakupan insiden peretasan ini, dan pengembang kami sangat kuat."

Selain itu, dua pihak proyek lainnya juga terpengaruh: Menurut Hexagate, proyek peminjaman AlchemixFi dan protokol DeFi MetronomeDAO juga diserang, dan penyerang menghasilkan keuntungan total $13 juta dan $1,6 juta. Kedua proyek mengeluarkan pernyataan untuk pertama kalinya.Alchemix mengklaim telah memperhatikan insiden peretasan, yang dapat menyebabkan ketidakstabilan harga token proyek, dan menyarankan agar LP menarik likuiditas dari kumpulan sesegera mungkin.

MetronomeDAO menyatakan, "Penyedia mana pun yang menyediakan likuiditas pada pasangan msUSD, dan pengguna Optimisme yang berinteraksi dengan msETH di Velodrome, harus mencatat bahwa posisi mereka tidak terpengaruh. Selain itu, semua deposit Metronome dan posisi terbuka tidak terpengaruh. terpengaruh oleh kejadian ini."