- Topik
88k Popularitas
41k Popularitas
15k Popularitas
4k Popularitas
5k Popularitas
29k Popularitas
16k Popularitas
23k Popularitas
13k Popularitas
3k Popularitas
- Sematkan
88k Popularitas
41k Popularitas
15k Popularitas
4k Popularitas
5k Popularitas
29k Popularitas
16k Popularitas
23k Popularitas
13k Popularitas
3k Popularitas
Artikel ini memilah serangan berantai yang disebabkan oleh kegagalan bahasa pemrograman Vyper
Penulis: Wu Shuo Blockchain
proses
Pada pukul 21:34 tanggal 30 Juli, PeckShield mendeteksi bahwa perjanjian peminjaman NFT JPEG'd diduga diserang. Pada pukul 21:10, lebih dari 6.100 WETH (senilai sekitar 11,45 juta dolar AS) ditransfer ke alamat: 0x94…A6Ab . Menurut Curve Finance, JPEG menjadi sasaran serangan reentrancy read-only. Saat ini, harga pETH di kumpulan pETH-ETH di Curve telah turun menjadi $383. pETH adalah aset turunan ETH yang diterbitkan oleh JPEG'd. JPEG men-tweet bahwa kumpulan kurva pETH-ETH diserang, kontrak brankas yang memungkinkan peminjaman NFT masih aman dan stabil, dan NFT serta aset perbendaharaan tidak terpengaruh.
22:50 msETH-ETH diserang.
23:34 alETH-ETH diserang.
Pada 0:44 tanggal 31 Juli, bahasa pemrograman Ethereum Vyper men-tweet bahwa kunci masuk kembali Vyper versi 0.2.15, 0.2.16 dan 0.3.0 tidak valid.
0:45 Posting Twitter resmi Curve menyatakan bahwa karena kesalahan kunci entri ulang, banyak kumpulan stablecoin (alETH/mSETH/pETH) yang menggunakan Vyper 0.2.15 diserang, dan kumpulan lainnya aman.
0:57 Statistik pembayaran terpengaruh oleh hal ini. Perjanjian peminjaman DeFi Alchemix, perjanjian peminjaman NFT JPEG'd, perjanjian aset sintetis DeFi MetronomeDAO, jembatan lintas rantai deBridge, dan proyek DEX Ellipsis di Rantai BNB menggunakan mekanisme Curve mengalami a kerugian kumulatif lebih dari 26,76 juta dolar AS.
2:46 Metronom mengeluarkan dokumen yang mengatakan bahwa sebagai tindakan pencegahan, fungsi mainnet Metronom telah ditangguhkan.
3:08 CRV-ETH diserang, dan CRV terendah pada rantai turun menjadi sekitar 0,08. Namun, karena harga AAVE diambil dari Chainlink, yang terakhir tidak mencerminkan harga abnormal, sehingga posisi pendiri Curve Michael Egorov di AAVE tidak dilikuidasi.
Menurut @Super4DeFi, selama periode ini, beberapa arbitrase membeli 600 alteth dengan 0,1ETH dan 1200 alteth dengan 4 ETH. Alchemix secara resmi mengeluarkan pernyataan yang mengatakan bahwa kumpulan alETH-ETH kehilangan 5000 ETH, dan alteth saat ini = 0,7ETH. OlympusDAO memisahkan diri dari fraxBP, mengubah stablecoin treasury menjadi 1800 keping DAI, dan menyimpannya di DSR, dan sisa 7 juta USDC juga disiapkan untuk ditukar dengan DAI.
Pada pukul 07.26, Paidun kembali menghitung kerugian akibat peristiwa keamanan tersebut telah melebihi 51,95 juta dolar AS.
7:50 CRV/ETH Pool Mev Bot deployer c0ffeebabe.eth mengembalikan 2.879,54 ETH ke deployment Curve Finance, senilai sekitar $5,39 juta.
Pada pukul 9:37, bursa terbesar Korea Selatan, Upbit, mengumumkan bahwa karena serangan terhadap beberapa kumpulan stablecoin Curve, CRV sangat berfluktuasi, dan layanan deposit dan penarikan Curve (CRV) telah ditangguhkan.
Efek lainnya
Menurut data defillama, Curve Finance TVL turun 43,6% dalam 24 jam menjadi US$1,84 miliar; Convex Finance TVL turun 48,5% dalam 24 jam menjadi US$14,9 miliar.
Versi Aave Ethereum v2 telah menonaktifkan fungsi peminjaman CRV (mungkin untuk mencegah pedagang menggunakan kerentanan Curve untuk panik, dan korslet berbahaya dari CRV yang dipinjam mendorong likuidasi serial). Menurut proposal AIP-125 yang disahkan oleh pemerintahan Aave, dalam menghadapi beberapa keadaan darurat, perjanjian tersebut dapat melarang fungsi peminjaman aset tertentu. Saat ini terdapat lebih dari 300 juta pasokan CRV di Aave v2 (sekitar 95% dari pasokan pendiri CRV, Michwill), dan hanya sekitar 35 juta CRV yang telah dipinjamkan.
Saat ini, deposit dan pinjaman APY dari materi pelajaran seperti USDC, USDT dan DAI di Aave telah meningkat secara signifikan, deposit dan pinjaman USDC APY saat ini masih lebih dari 20%, dan USDT lebih dari 25%. Karena peretas Curve (0xb1...c148) mendapat untung sebesar 7.193.402 CRV senilai 4,6 juta dolar AS, pengguna masih khawatir tentang likuidasi besar-besaran CRV dari pendiri Curve Michwill dan reaksi berantai (CRV pada rantai pernah turun menjadi $0,08, tetapi oracle Chainlink tidak disertakan, jadi likuidasi tidak dipicu).
Saat ini Michwill memiliki 293.020.675 CRV agunan ($187 juta) dan 59.674.100 USDT utang di Aave v2, dengan garis likuidasi sekitar $0,37; Fraxlend memiliki 71.107.195 CRV agunan ($445,46 juta) dan 21.337.989 utang FRAX (2130 juta dolar), likuidasi 63.404, 437 CRV agunan ( $31,9 juta) dan 18.787.110 utang MIM di Abracadabra, garis likuidasi ~$0,39; 25.128.033 agunan CRV ($16 juta) dan 7.689.209 utang DOLA dalam Invers, garis likuidasi ~$0,4 $0,4. Dalam 6 jam terakhir, Michwill berturut-turut telah melunasi sebagian utangnya.
SlowMist @IM_23pds menunjukkan bahwa versi yang direkomendasikan oleh dokumen resmi Vyper sebenarnya adalah versi yang cacat; Cosine menunjukkan bahwa bug di lapisan bahasa kontrak pintar menyebabkan pertahanan kunci masuk kembali dari beberapa proyek terkenal gagal, dan hitam dan peretas topi putih dan MEV Bot menjadi gila Semua jenis manipulasi entri ulang dan front-running mengambil dana. Yang paling saya takuti adalah jenis kerentanan lapisan dasar ini, untungnya kali ini bukan Soliditas, tetapi Vyper yang kurang populer yang bermasalah. Atau lebih jauh lagi, ini bukan EVM atau masalah lapisan yang lebih mendasar.