В некоторых версиях языка Vyper есть уязвимости, а такие проекты, как Curve, подверглись атакам.

30 июля по пекинскому времени в некоторых версиях языка программирования смарт-контрактов Vyper были обнаружены серьезные уязвимости, в результате чего некоторые важные проекты, включая Curve Finance, подверглись атаке.

Согласно объявлению в Твиттере Vyper, языка программирования смарт-контрактов Ethereum, три его версии — 0.2.15, 0.2.16 и 0.3.0 — имеют серьезные уязвимости, которые могут отключить их блокировки повторного входа. Для блокчейн-проектов эта проблема может привести к прерыванию процесса исполнения контракта или к непредсказуемым результатам, что повлияет на стабильность всей системы. В объявлении команда Vyper настоятельно рекомендует всем проектам, использующим эти уязвимые версии, немедленно связаться с ними для получения своевременной технической поддержки и решений.

Однако влияние этой уязвимости уже произошло. Через минуту команда Curve написала в Твиттере, что некоторые стабильные пулы, использующие Vyper версии 0.2.15, включая alETH, msETH и pETH, подверглись кибератакам из-за сбоя функции блокировки повторного входа. Эта уязвимость позволяет злоумышленникам выполнять определенные функции несколько раз в рамках одной транзакции, что может нанести значительный ущерб связанным блокчейн-проектам.

Команда Curve также обещает, что другие пулы безопасны, и эта уязвимость никогда не была замечена в предыдущем процессе разработки до сегодняшнего дня. Токен Curve также резко упал, потеряв 15,45% за день.

!

Заявление Curve в Twitter.

Пострадали несколько проектов. По данным Supremacy, сетевого монитора данных, соглашение о залоге NFT JPEG'd было затронуто уязвимостью повторного входа, а украденные активы достигли около 10 миллионов долларов США. Сразу после этого Paidun и Hexagate, две другие учетные записи безопасности в цепочке, также написали в Твиттере проектную группу @JPEG, заявив, что транзакция была хакерской транзакцией. Этот инцидент привел к падению стоимости токена JPEG'd со стабильного уровня около 0,00062 до 0,0003, а теперь он восстановился до 0,00049, что означает однодневное падение на 21,63%.

Цена токена в формате JPEG. Источник: Coinmarketcap

Проект JPEG также отреагировал после выпуска Curve, заявив, что «наш протокол не входит в рамки этого инцидента со взломом, а наши разработчики очень сильны».

Кроме того, пострадали еще две стороны проекта: по данным Hexagate, кредитный проект AlchemixFi и протокол DeFi MetronomeDAO также подверглись атаке, и злоумышленники получили в общей сложности 13 миллионов долларов и 1,6 миллиона долларов прибыли. Оба проекта впервые выступили с заявлениями: Alchemix заявила, что заметила инцидент со взломом, который может привести к нестабильности курса токенов проекта, и предложила LP вывести ликвидность из пула как можно скорее.

MetronomeDAO заявил: "Любой провайдер, предоставляющий ликвидность в парах msUSD, и пользователи Optimism, взаимодействующие с msETH на Velodrome, должны учитывать, что их позиции не затронуты. Кроме того, все депозиты и открытые позиции Metronome не затронуты этим инцидентом".