Às 21h34 de 30 de julho, PeckShield detectou que o acordo de empréstimo NFT JPEG'd era suspeito de ter sido atacado. Às 21h10, mais de 6.100 WETH (no valor de cerca de 11,45 milhões de dólares americanos) foram transferidos para o endereço: 0x94…A6Ab . De acordo com a Curve Finance, o JPEG estava sujeito a um ataque de reentrância somente leitura. Atualmente, o preço do pETH no pool de pETH-ETH na Curve caiu para US$ 383. pETH é um ativo derivado de ETH emitido pela JPEG'd. JPEG twittou que o pool de curvas pETH-ETH foi atacado, o contrato de cofre que permite o empréstimo de NFT ainda é seguro e estável, e os ativos de NFT e tesouraria não foram afetados.
22:50 msETH-ETH é atacado.
23:34 alETH-ETH é atacado.
Às 0h44 de 31 de julho, a linguagem de programação Ethereum Vyper twittou que os bloqueios de reentrada das versões 0.2.15, 0.2.16 e 0.3.0 do Vyper eram inválidos.
0:45 A postagem oficial do Curve no Twitter afirmou que, devido a um bloqueio de reentrada defeituoso, muitos pools de stablecoin (alETH/msETH/pETH) usando Vyper 0.2.15 foram atacados e outros pools estavam seguros.
0:57 As estatísticas do Paidun foram afetadas por isso. O contrato de empréstimo DeFi Alchemix, o contrato de empréstimo NFT JPEG'd, o contrato de ativos sintéticos DeFi MetronomeDAO, a ponte cruzada deBridge e o projeto DEX Ellipsis na cadeia BNB usando o mecanismo Curve sofreram um perda cumulativa de mais de 26,76 milhões de dólares americanos.
2:46 Metronome emitiu um documento dizendo que, como medida de precaução, a função da rede principal do Metronome foi suspensa.
3:08 O CRV-ETH foi atacado e o CRV mais baixo da cadeia caiu para cerca de 0,08. No entanto, como o preço do AAVE foi retirado do Chainlink, este último não refletiu o preço anormal, então a posição do fundador da Curve, Michael Egorov, no AAVE não foi liquidado.
De acordo com @Super4DeFi, durante este período, alguns arbitradores compraram 600 alteth com 0,1 ETH e 1200 alteth com 4 ETH. A Alchemix emitiu oficialmente um comunicado dizendo que o pool alETH-ETH perdeu 5000 ETH e o alteth atual = 0,7ETH. A OlympusDAO separou-se do fraxBP, converteu a stablecoin do tesouro em 1800 peças de DAI e a depositou em DSR, e os 7 milhões de USDC restantes também foram preparados para serem trocados por DAI.
Às 7:26, Paidun mais uma vez contou que a perda do incidente de segurança ultrapassou 51,95 milhões de dólares americanos.
7:50 CRV/ETH Pool Mev Bot implantador c0ffeebabe.eth retornou 2.879,54 ETH para o implantador Curve Finance, no valor de cerca de US$ 5,39 milhões.
Às 9h37, a maior exchange da Coreia do Sul, a Upbit, anunciou que, devido ao ataque a alguns dos pools de stablecoin da Curve, o CRV oscilou muito e os serviços de depósito e retirada da Curve (CRV) foram suspensos.
Outros efeitos
De acordo com dados defillama, o Curve Finance TVL diminuiu 43,6% em 24 horas para US$ 1,84 bilhão; o Convex Finance TVL diminuiu 48,5% em 24 horas para US$ 14,9 bilhões.
A versão Aave Ethereum v2 desativou a função de empréstimo do CRV (provavelmente para impedir que os comerciantes usem a vulnerabilidade da Curve para entrar em pânico e o curto-circuito malicioso do CRV emprestado solicita a liquidação em série). De acordo com a proposta AIP-125 aprovada pela governança da Aave, diante de algumas emergências, o acordo pode proibir a função de empréstimo de ativos específicos. Atualmente, há mais de 300 milhões de CRV no Aave v2 (cerca de 95% do fornecimento do fundador da CRV, Michwill), e apenas cerca de 35 milhões de CRV foram emprestados.
Atualmente, o APY de depósito e empréstimo do assunto, como USDC, USDT e DAI em Aave, aumentou significativamente. O atual APY de depósito e empréstimo do USDC ainda é superior a 20% e o USDT é superior a 25%. Como o hacker do Curve (0xb1...c148) obteve um lucro de 7.193.402 CRV no valor de 4,6 milhões de dólares americanos, os usuários ainda estão preocupados com a enorme liquidação do CRV do fundador do Curve, Michwill, e a reação em cadeia (o CRV na cadeia caiu para $ 0,08, mas os oráculos Chainlink não foram incluídos, então as liquidações não foram acionadas).
Atualmente Michwill tem 293.020.675 CRV de garantia (US$ 187 milhões) e 59.674.100 USDT de dívida em Aave v2, com uma linha de liquidação de cerca de US$ 0,37; Fraxlend tem 71.107.195 de garantia CRV (US$ 445,46 milhões) e 21.337.989 de dívida FRAX (2.130 milhões de dólares), liquidação 63,4 04.437 garantia CRV ( $ 31,9 milhões) e dívida de 18.787.110 MIM em Abracadabra, linha de liquidação ~ $ 0,39; garantia de 25.128.033 CRV ($ 16 milhões) e dívida de 7.689.209 DOLA em Inverse, linha de liquidação ~ $ 0,4 $ 0,4. Nas últimas 6 horas, Michwill pagou sucessivamente parte da dívida.
SlowMist @IM_23pds apontou que a versão recomendada pelo documento oficial do Vyper é, na verdade, uma versão defeituosa; Cosine apontou que bugs na camada de linguagem de contrato inteligente causaram falha na defesa de bloqueio de reentrada de alguns projetos conhecidos, preto e branco Hat hackers e MEV Bots enlouqueceram. Todos os tipos de manipulação de reentrada e front-running tiraram fundos. O que mais temo é esse tipo de vulnerabilidade da camada de base.Felizmente, desta vez não é o Solidity, mas o menos popular Vyper que tem um problema. Ou ainda mais, não é um EVM ou algo mais problema de camada fundamental.
Ver original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Este artigo classifica os ataques seriais causados pela falha da linguagem de programação Vyper
Autor: Wu Shuo Blockchain
processo
Às 21h34 de 30 de julho, PeckShield detectou que o acordo de empréstimo NFT JPEG'd era suspeito de ter sido atacado. Às 21h10, mais de 6.100 WETH (no valor de cerca de 11,45 milhões de dólares americanos) foram transferidos para o endereço: 0x94…A6Ab . De acordo com a Curve Finance, o JPEG estava sujeito a um ataque de reentrância somente leitura. Atualmente, o preço do pETH no pool de pETH-ETH na Curve caiu para US$ 383. pETH é um ativo derivado de ETH emitido pela JPEG'd. JPEG twittou que o pool de curvas pETH-ETH foi atacado, o contrato de cofre que permite o empréstimo de NFT ainda é seguro e estável, e os ativos de NFT e tesouraria não foram afetados.
22:50 msETH-ETH é atacado.
23:34 alETH-ETH é atacado.
Às 0h44 de 31 de julho, a linguagem de programação Ethereum Vyper twittou que os bloqueios de reentrada das versões 0.2.15, 0.2.16 e 0.3.0 do Vyper eram inválidos.
0:45 A postagem oficial do Curve no Twitter afirmou que, devido a um bloqueio de reentrada defeituoso, muitos pools de stablecoin (alETH/msETH/pETH) usando Vyper 0.2.15 foram atacados e outros pools estavam seguros.
0:57 As estatísticas do Paidun foram afetadas por isso. O contrato de empréstimo DeFi Alchemix, o contrato de empréstimo NFT JPEG'd, o contrato de ativos sintéticos DeFi MetronomeDAO, a ponte cruzada deBridge e o projeto DEX Ellipsis na cadeia BNB usando o mecanismo Curve sofreram um perda cumulativa de mais de 26,76 milhões de dólares americanos.
2:46 Metronome emitiu um documento dizendo que, como medida de precaução, a função da rede principal do Metronome foi suspensa.
3:08 O CRV-ETH foi atacado e o CRV mais baixo da cadeia caiu para cerca de 0,08. No entanto, como o preço do AAVE foi retirado do Chainlink, este último não refletiu o preço anormal, então a posição do fundador da Curve, Michael Egorov, no AAVE não foi liquidado.
De acordo com @Super4DeFi, durante este período, alguns arbitradores compraram 600 alteth com 0,1 ETH e 1200 alteth com 4 ETH. A Alchemix emitiu oficialmente um comunicado dizendo que o pool alETH-ETH perdeu 5000 ETH e o alteth atual = 0,7ETH. A OlympusDAO separou-se do fraxBP, converteu a stablecoin do tesouro em 1800 peças de DAI e a depositou em DSR, e os 7 milhões de USDC restantes também foram preparados para serem trocados por DAI.
Às 7:26, Paidun mais uma vez contou que a perda do incidente de segurança ultrapassou 51,95 milhões de dólares americanos.
7:50 CRV/ETH Pool Mev Bot implantador c0ffeebabe.eth retornou 2.879,54 ETH para o implantador Curve Finance, no valor de cerca de US$ 5,39 milhões.
Às 9h37, a maior exchange da Coreia do Sul, a Upbit, anunciou que, devido ao ataque a alguns dos pools de stablecoin da Curve, o CRV oscilou muito e os serviços de depósito e retirada da Curve (CRV) foram suspensos.
Outros efeitos
De acordo com dados defillama, o Curve Finance TVL diminuiu 43,6% em 24 horas para US$ 1,84 bilhão; o Convex Finance TVL diminuiu 48,5% em 24 horas para US$ 14,9 bilhões.
A versão Aave Ethereum v2 desativou a função de empréstimo do CRV (provavelmente para impedir que os comerciantes usem a vulnerabilidade da Curve para entrar em pânico e o curto-circuito malicioso do CRV emprestado solicita a liquidação em série). De acordo com a proposta AIP-125 aprovada pela governança da Aave, diante de algumas emergências, o acordo pode proibir a função de empréstimo de ativos específicos. Atualmente, há mais de 300 milhões de CRV no Aave v2 (cerca de 95% do fornecimento do fundador da CRV, Michwill), e apenas cerca de 35 milhões de CRV foram emprestados.
Atualmente, o APY de depósito e empréstimo do assunto, como USDC, USDT e DAI em Aave, aumentou significativamente. O atual APY de depósito e empréstimo do USDC ainda é superior a 20% e o USDT é superior a 25%. Como o hacker do Curve (0xb1...c148) obteve um lucro de 7.193.402 CRV no valor de 4,6 milhões de dólares americanos, os usuários ainda estão preocupados com a enorme liquidação do CRV do fundador do Curve, Michwill, e a reação em cadeia (o CRV na cadeia caiu para $ 0,08, mas os oráculos Chainlink não foram incluídos, então as liquidações não foram acionadas).
Atualmente Michwill tem 293.020.675 CRV de garantia (US$ 187 milhões) e 59.674.100 USDT de dívida em Aave v2, com uma linha de liquidação de cerca de US$ 0,37; Fraxlend tem 71.107.195 de garantia CRV (US$ 445,46 milhões) e 21.337.989 de dívida FRAX (2.130 milhões de dólares), liquidação 63,4 04.437 garantia CRV ( $ 31,9 milhões) e dívida de 18.787.110 MIM em Abracadabra, linha de liquidação ~ $ 0,39; garantia de 25.128.033 CRV ($ 16 milhões) e dívida de 7.689.209 DOLA em Inverse, linha de liquidação ~ $ 0,4 $ 0,4. Nas últimas 6 horas, Michwill pagou sucessivamente parte da dívida.
SlowMist @IM_23pds apontou que a versão recomendada pelo documento oficial do Vyper é, na verdade, uma versão defeituosa; Cosine apontou que bugs na camada de linguagem de contrato inteligente causaram falha na defesa de bloqueio de reentrada de alguns projetos conhecidos, preto e branco Hat hackers e MEV Bots enlouqueceram. Todos os tipos de manipulação de reentrada e front-running tiraram fundos. O que mais temo é esse tipo de vulnerabilidade da camada de base.Felizmente, desta vez não é o Solidity, mas o menos popular Vyper que tem um problema. Ou ainda mais, não é um EVM ou algo mais problema de camada fundamental.