Existem vulnerabilidades em algumas versões da linguagem Vyper e projetos como o Curve foram atacados

Em 30 de julho, horário de Pequim, algumas versões da linguagem de programação de contratos inteligentes Vyper apresentaram sérias vulnerabilidades e, portanto, alguns projetos importantes, incluindo o Curve Finance, foram atacados.

De acordo com o anúncio no Twitter do Vyper, a linguagem de programação de contrato inteligente da Ethereum, três de suas versões - 0.2.15, 0.2.16 e 0.3.0 - têm sérias vulnerabilidades que podem desabilitar seus bloqueios de reentrância. Para projetos de blockchain, esse problema pode causar a interrupção do processo de execução do contrato ou produzir resultados imprevisíveis, afetando a estabilidade de todo o sistema. No anúncio, a equipe do Vyper recomenda fortemente que todos os projetos que usam essas versões afetadas entrem em contato imediatamente para obter suporte técnico e soluções em tempo hábil.

No entanto, o impacto dessa vulnerabilidade já ocorreu. A equipe do Curve twittou um minuto depois que alguns pools estáveis usando Vyper versão 0.2.15, incluindo alETH, msETH e pETH, sofreram ataques cibernéticos devido à falha da função de bloqueio de reentrada. Essa vulnerabilidade permite que invasores executem determinadas funções várias vezes em uma única transação, potencialmente causando danos significativos a projetos de blockchain relacionados.

A equipe do Curve também promete que outras piscinas são seguras, e essa vulnerabilidade nunca foi notada durante o processo de desenvolvimento anterior até hoje. O token da Curve também despencou ao mesmo tempo, perdendo 15,45% no dia.

!

Declaração da Curve no Twitter.

Vários projetos foram afetados. De acordo com o Supremacy, um monitor de dados on-chain, o acordo de promessa NFT JPEG'd foi afetado pela vulnerabilidade de reentrância e os ativos roubados atingiram cerca de 10 milhões de dólares americanos. Imediatamente depois, Paidun e Hexagate, duas outras contas de segurança na cadeia, também twittaram a festa do projeto @JPEG, alegando que a transação foi uma transação de hacker. Este incidente fez com que o valor do token JPEG'd caísse, de um nível estável de cerca de 0,00062 para 0,0003, e agora se recuperou para 0,00049, uma queda de 21,63% em um dia.

Preço do token em JPEG. Fonte: Coinmarketcap

O projeto JPEG também respondeu após o lançamento do Curve, alegando que "nosso protocolo não está dentro do escopo deste incidente de hacking e nossos desenvolvedores são muito poderosos".

Além disso, duas outras partes do projeto também foram afetadas: de acordo com a Hexagate, o projeto de empréstimo AlchemixFi e o protocolo DeFi MetronomeDAO também foram atacados, e os invasores obtiveram um total de US$ 13 milhões e US$ 1,6 milhão em lucros. Ambos os projetos emitiram declarações na primeira vez. A Alchemix afirmou ter percebido o incidente de hacking, que pode levar à instabilidade no preço dos tokens do projeto, e sugeriu que a LP retirasse a liquidez do pool o mais rápido possível.

O MetronomeDAO declarou: "Qualquer provedor que forneça liquidez em pares msUSD e usuários do Optimism interagindo com msETH no Velodrome, deve observar que suas posições não são afetadas. Além disso, todos os depósitos e posições abertas do Metronome não são afetados. afetados por este incidente."