Vyper dilinin bazı sürümlerinde güvenlik açıkları bulunuyor ve Curve gibi projeler saldırıya uğradı.

30 Temmuz'da, Pekin saatinde, akıllı sözleşme programlama dili Vyper'ın bazı sürümlerinde ciddi güvenlik açıkları bulundu ve bu nedenle Curve Finance dahil bazı önemli projeler saldırıya uğradı.

Ethereum akıllı sözleşme programlama dili Vyper'ın Twitter duyurusuna göre, sürümlerinden üçü - 0.2.15, 0.2.16 ve 0.3.0 - yeniden giriş kilitlerini devre dışı bırakabilecek ciddi güvenlik açıklarına sahip. Blockchain projelerinde bu sorun, sözleşmenin yürütme sürecinin kesintiye uğramasına veya öngörülemeyen sonuçlar doğurmasına neden olarak tüm sistemin kararlılığını etkileyebilir. Duyuruda Vyper ekibi, etkilenen bu sürümleri kullanan tüm projelerin zamanında teknik destek ve çözümler için kendileriyle hemen iletişime geçmesini şiddetle tavsiye ediyor.

Ancak, bu güvenlik açığının etkisi çoktan ortaya çıktı. Curve ekibi bir dakika sonra, alETH, msETH ve pETH dahil olmak üzere Vyper 0.2.15 sürümünü kullanan bazı kararlı havuzların yeniden giriş kilidi işlevinin başarısızlığı nedeniyle siber saldırılara maruz kaldığını tweetledi. Bu güvenlik açığı, saldırganların belirli işlevleri tek bir işlemde birden çok kez yürütmesine olanak tanıyarak ilgili blok zinciri projelerine potansiyel olarak önemli zararlar verebilir.

Curve ekibi ayrıca diğer havuzların güvenli olduğunun sözünü veriyor ve bu güvenlik açığı bugüne kadar önceki geliştirme sürecinde hiç fark edilmedi. Curve'ün tokeni de aynı anda düştü ve gün içinde %15,45 değer kaybetti.

!

Curve'ün Twitter açıklaması.

Birkaç proje etkilendi. Bir zincir üstü veri monitörü olan Supremacy'ye göre, NFT rehin sözleşmesi JPEG'd yeniden giriş güvenlik açığından etkilendi ve çalınan varlıklar yaklaşık 10 milyon ABD dolarına ulaştı. Hemen ardından, zincirdeki diğer iki güvenlik hesabı olan Paidun ve Hexagate de @JPEG'in proje tarafını tweetledi ve işlemin bir hacker işlemi olduğunu iddia etti. Bu olay, JPEG'd'in simge değerinin yaklaşık 0,00062'lik sabit bir seviyeden 0,0003'e düşmesine neden oldu ve şimdi bir günlük %21,63'lük düşüşle 0,00049'a geri döndü.

JPEG belirteç fiyatı. Kaynak: Coinmarketcap

JPEG'd projesi de Curve'ün yayınlanmasından sonra "protokolümüzün bu hack olayı kapsamında olmadığını ve geliştiricilerimizin çok güçlü olduğunu" iddia ederek yanıt verdi.

Ek olarak, diğer iki proje tarafı da etkilendi: Hexagate'e göre, borç verme projesi AlchemixFi ve DeFi protokolü MetronomeDAO da saldırıya uğradı ve saldırganlar toplam 13 milyon dolar ve 1,6 milyon dolar kar elde etti. Her iki projede de ilk kez açıklamalarda bulunan Alchemix, proje tokenlerinin fiyatlarında istikrarsızlığa yol açabilecek hacking olayını fark ettiğini iddia ederek LP'ye bir an önce likiditeyi havuzdan çekmesini önerdi.

MetronomeDAO, "msUSD çiftlerinde likidite sağlayan herhangi bir sağlayıcı ve Velodrome'da msETH ile etkileşimde bulunan Optimism kullanıcıları, konumlarının etkilenmediğini unutmamalıdır. Ayrıca, tüm Metronome mevduatları ve açık pozisyonlar bu olaydan etkilenmez. Etkilenir."