В этой статье разбираются серийные атаки, вызванные сбоем языка программирования Vyper.

Автор: Блокчейн Ву Шуо

процесс

В 21:34 30 июля PeckShield обнаружил подозрение в атаке на кредитный договор NFT JPEG'd.В 21:10 более 6 100 WETH (на сумму около 11,45 млн долларов США) были переведены на адрес: 0x94…A6Ab . Согласно Curve Finance, JPEG'd подвергся повторной атаке только для чтения. В настоящее время цена pETH в пуле pETH-ETH на Curve упала до 383 долларов. pETH — производный актив ETH, выпущенный JPEG'd. JPEG написал в Твиттере, что пул кривой pETH-ETH подвергся атаке, контракт хранилища, который позволяет заимствовать NFT, по-прежнему безопасен и стабилен, а NFT и казначейские активы не затронуты.

22:50 msETH-ETH атакован.

23:34 alETH-ETH атакован.

В 0:44 31 июля язык программирования Ethereum Vyper написал в Твиттере, что блокировки повторного входа версий Vyper 0.2.15, 0.2.16 и 0.3.0 недействительны.

0:45 В официальном сообщении Curve в Твиттере говорится, что из-за неисправной блокировки повторного входа многие пулы стейблкоинов (alETH/msETH/pETH), использующие Vyper 0.2.15, подверглись атаке, а другие пулы оказались в безопасности.

0:57 Это повлияло на статистику Paidun.Кредитное соглашение DeFi Alchemix, кредитное соглашение NFT JPEG'd, соглашение о синтетических активах DeFi MetronomeDAO, межсетевой мост deBridge и проект DEX Ellipsis в цепочке BNB с использованием механизма Curve пострадали совокупный убыток более 26,76 млн долларов США.

2:46 Компания Metronome опубликовала документ, в котором говорится, что в качестве меры предосторожности функция основной сети Metronome была приостановлена.

3:08 CRV-ETH подвергся атаке, и самый низкий CRV в цепочке упал примерно до 0,08.Однако, поскольку цена AAVE была взята из Chainlink, последняя не отражала аномальную цену, поэтому позиция основателя Curve Михаила Егорова в AAVE не был ликвидирован.

Согласно @Super4DeFi, за этот период некоторые арбитражеры приобрели 600 альтетов за 0,1ETH и 1200 альтетов за 4 ETH.Alchemix официально опубликовала заявление о том, что пул alETH-ETH потерял 5000 ETH, а текущий альтет = 0,7ETH. OlympusDAO отделилась от fraxBP, конвертировала казначейский стейблкоин в 1800 штук DAI и депонировала их в DSR, а оставшиеся 7 млн USDC также были подготовлены к обмену на DAI.

В 7:26 Пайдун еще раз подсчитал, что ущерб от инцидента с безопасностью превысил 51,95 миллиона долларов США.

7:50 CRV/ETH Pool Mev Bot Deployer c0ffeebabe.eth вернул 2879,54 ETH деплойеру Curve Finance на сумму около 5,39 млн долларов.

В 9:37 крупнейшая биржа Южной Кореи Upbit объявила, что из-за атаки на некоторые пулы стейблкоинов Curve курс CRV сильно колебался, а услуги ввода и вывода средств Curve (CRV) были приостановлены.

Другие эффекты

Согласно данным defillama, оборотная стоимость Curve Finance TVL за 24 часа снизилась на 43,6% до 1,84 млрд долларов США, а Convex Finance TVL за 24 часа снизилась на 48,5% до 14,9 млрд долларов США.

В версии Aave Ethereum v2 отключена функция заимствования CRV (вероятно, для того, чтобы трейдеры не использовали уязвимость Curve для паники, а злонамеренное замыкание заимствованного CRV вызывает последовательную ликвидацию). Согласно предложению AIP-125, принятому руководством Aave, в случае возникновения некоторых чрезвычайных ситуаций соглашение может запретить функцию заимствования определенных активов. В настоящее время в Aave v2 имеется более 300 миллионов CRV (около 95% от поставок основателя CRV Мичвилла), и только около 35 миллионов CRV было предоставлено взаймы.

В настоящее время депозитная и кредитная APY базовых активов, таких как USDC, USDT и DAI в Aave, значительно увеличилась Текущая депозитная и кредитная APY в USDC по-прежнему превышает 20%, а USDT превышает 25%. Поскольку хакер Curve (0xb1...c148) получил прибыль в размере 7 193 402 CRV на сумму 4,6 миллиона долларов США, пользователи по-прежнему обеспокоены крупной ликвидацией CRV основателя Curve Мичвилла и цепной реакцией (CRV в цепочке однажды упал до 0,08 доллара США, но оракулы Chainlink не были включены, поэтому ликвидация не запускалась).

В настоящее время Michwill имеет 293 020 675 залогов CRV (187 миллионов долларов) и долг в размере 59 674 100 долларов США в Aave v2 с линией ликвидации около 0,37 доллара; Fraxlend имеет 71 107 195 залогов CRV (445,46 миллионов долларов) и 21 337 989 долгов FRAX (2130 миллионов долларов), ликвидация 63 404 437 залога CRV ( $31,9 млн) и 18 787 110 MIM долга в Abracadabra, линия ликвидации ~$0,39; 25 128 033 залога CRV ($16 млн) и 7 689 209 долга DOLA в инверсной, ликвидационная линия ~$0,4 $0,4. За последние 6 часов Мичвилл последовательно погасил часть долга.

SlowMist @IM_23pds указал, что версия, рекомендованная официальным документом Vyper, на самом деле является ошибочной версией; Cosine указал, что ошибки в языковом слое смарт-контракта привели к сбою защиты от блокировки повторного входа в некоторых известных проектах, а черный и Хакеры в белой шляпе и MEV-боты сошли с ума Все виды манипуляций с повторным входом и авансом забрали средства. Чего я больше всего боюсь, так это уязвимости базового уровня, к счастью, на этот раз проблема не в Solidity, а в менее популярном Vyper. Или даже более того, это не EVM или что-то более фундаментальное.