Vyper言語の一部のバージョンには脆弱性があり、Curveなどのプロジェクトが攻撃されている

北京時間の7月30日、スマートコントラクトプログラミング言語Vyperの一部のバージョンに重大な脆弱性があることが判明し、そのためCurve Financeを含むいくつかの重要なプロジェクトが攻撃された。

イーサリアム スマート コントラクト プログラミング言語である Vyper の Twitter の発表によると、そのバージョンのうち 3 つ (0.2.15、0.2.16、および 0.3.0) には、再入ロックを無効にする可能性がある深刻な脆弱性があります。ブロックチェーン プロジェクトの場合、この問題によりコントラクトの実行プロセスが中断されたり、予期しない結果が生じたりする可能性があり、その結果システム全体の安定性に影響を与える可能性があります。発表の中で、Vyperチームは、これらの影響を受けるバージョンを使用しているすべてのプロジェクトに対し、タイムリーな技術サポートと解決策について直ちに連絡することを強く推奨しています。

ただし、この脆弱性の影響はすでに発生しています。その1分後、Curveチームは、alETH、msETH、pETHなど、Vyperバージョン0.2.15を使用する一部の安定したプールが、リエントリーロック機能の失敗によりサイバー攻撃を受けたとツイートした。この脆弱性により、攻撃者は単一トランザクションで特定の機能を複数回実行することができ、関連するブロックチェーン プロジェクトに重大な損害を与える可能性があります。

Curve チームは、他のプールも安全であることを約束していますが、この脆弱性は以前の開発プロセスでは今日に至るまで一度も気付かれていませんでした。同時にカーブのトークンも急落し、その日は15.45％下落した。

!

カーブのツイッターでの声明。

いくつかのプロジェクトが影響を受けました。オンチェーンデータモニターのSupremacyによると、JPEGのNFTプレッジ契約がリエントランシーの脆弱性の影響を受け、盗まれた資産は約1000万米ドルに達したという。その直後、チェーン上の他の 2 つのセキュリティ アカウントである Paidun と Hexagate も @JPEG のプロジェクト パーティーをツイートし、取引はハッカーによる取引であると主張しました。この事件により、JPEGのトークン価値は安定した約0.00062から0.0003まで急落しましたが、現在は0.00049まで回復しており、1日で21.63%の下落となっています。

JPEG 化されたトークン価格。出典: Coinmarketcap

JPEGのプロジェクトもCurveのリリース後に反応し、「私たちのプロトコルはこのハッキング事件の範囲内ではなく、私たちの開発者は非常に強力である」と主張した。

さらに、他の 2 つのプロジェクト関係者も影響を受けました。ヘキサゲートによると、融資プロジェクト AlchemixFi と DeFi プロトコル MetronomeDAO も攻撃され、攻撃者は合計 1,300 万ドルと 160 万ドルの利益を得ました。両プロジェクトは初めて声明を発表し、アルケミックスはプロジェクトトークンの価格不安定につながる可能性のあるハッキング事件に気づいたと主張し、LPがプールから流動性をできるだけ早く引き出すよう提案した。

MetronomeDAOは、「msUSDペアで流動性を提供するプロバイダー、およびベロドロームでmsETHとやり取りするオプティミズムユーザーは、そのポジションが影響を受けないことに注意する必要があります。さらに、メトロノームのすべてのデポジットとオープンポジションは影響を受けません。この事件の影響を受けます。」と述べました。