Bu makale, Vyper programlama dilinin başarısızlığından kaynaklanan seri saldırıları sıralamaktadır.

Yazar: Wu Shuo Blok Zinciri

işlem

30 Temmuz saat 21:34'te PeckShield, JPEG'd NFT ödünç verme sözleşmesinin saldırıya uğradığından şüphelenildiğini tespit etti Saat 21:10'da 6.100'den fazla WETH (yaklaşık 11.45 milyon ABD doları değerinde) şu adrese aktarıldı: 0x94…A6Ab . Curve Finance'e göre, JPEG'd salt okunur bir yeniden giriş saldırısına maruz kaldı. Şu anda, Curve'deki pETH-ETH havuzundaki pETH'nin fiyatı 383 dolara düştü. pETH, JPEG'd tarafından yayınlanan bir ETH türev varlığıdır. JPEG, pETH-ETH eğri havuzunun saldırıya uğradığını, NFT'nin ödünç alınmasına izin veren kasa sözleşmesinin hala güvenli ve istikrarlı olduğunu ve NFT ve hazine varlıklarının etkilenmediğini tweetledi.

22:50 msETH-ETH saldırıya uğradı.

23:34 alETH-ETH saldırıya uğradı.

31 Temmuz 0:44'te Ethereum programlama dili Vyper, Vyper 0.2.15, 0.2.16 ve 0.3.0 sürümlerinin yeniden giriş kilitlerinin geçersiz olduğunu tweetledi.

0:45 Curve'ün resmi Twitter gönderisi, hatalı bir yeniden giriş kilidi nedeniyle, Vyper 0.2.15 kullanan birçok stablecoin havuzunun (alETH/msETH/pETH) saldırıya uğradığını ve diğer havuzların güvenli olduğunu belirtti.

0:57 Paidun istatistikleri bundan etkilendi.DeFi borç verme anlaşması Alchemix, NFT borç verme anlaşması JPEG'd, DeFi sentetik varlık anlaşması MetronomeDAO, zincirler arası köprü deBridge ve Eğri mekanizmasını kullanan BNB Zincirinde DEX projesi Ellipsis zarar gördü. 26.76 milyon ABD dolarından fazla kümülatif zarar.

2:46 Metronome, önlem olarak Metronome ana ağ işlevinin askıya alındığını belirten bir belge yayınladı.

3:08 CRV-ETH saldırıya uğradı ve zincirdeki en düşük CRV yaklaşık 0,08'e düştü.Ancak, AAVE'nin fiyatı Chainlink'ten alındığından, ikincisi anormal fiyatı yansıtmadı, dolayısıyla Curve'un kurucusu Michael Egorov'un AAVE'deki konumu tasfiye edilmedi.

@Super4DeFi'ye göre bu dönemde bazı arbitrajcılar 0.1ETH ile 600 alteth ve 4 ETH ile 1200 alteth satın aldı.Alchemix resmi olarak alETH-ETH havuzunun 5000 ETH kaybettiğini ve mevcut alteth = 0.7ETH olduğunu belirten bir açıklama yaptı. OlympusDAO, fraxBP'den koptu, hazine stablecoin'ini 1800 adet DAI'ye çevirerek DSR'ye yatırdı ve kalan 7 milyon USDC'yi de DAI ile takas edilmek üzere hazırladı.

Paidun, saat 7:26'da güvenlik olayının kaybının 51.95 milyon ABD dolarını aştığını bir kez daha saydı.

7:50 CRV/ETH Pool Mev Bot konuşlandırıcısı c0ffeebabe.eth, Curve Finance konuşlandırıcısına yaklaşık 5,39 milyon dolar değerinde 2.879,54 ETH iade etti.

Saat 9:37'de Güney Kore'nin en büyük borsası Upbit, Curve'ün bazı stablecoin havuzlarına yapılan saldırı nedeniyle CRV'nin büyük ölçüde dalgalandığını ve Curve (CRV) para yatırma ve çekme hizmetlerinin askıya alındığını duyurdu.

Diğer efektler

Defillama verilerine göre Curve Finance TVL 24 saatte %43,6 azalarak 1,84 milyar ABD dolarına, Convex Finance TVL ise 24 saatte %48,5 azalarak 14,9 milyar ABD dolarına geriledi.

Aave Ethereum v2 sürümü, CRV ödünç alma işlevini devre dışı bıraktı (muhtemelen tüccarların Curve güvenlik açığını paniğe kapmak için kullanmasını ve seri tasfiyeyi teşvik etmek için CRV ödünç almanın kötü niyetli kısa devre yapmasını önlemek için). Aave yönetiminin kabul ettiği AIP-125 önerisine göre, bazı acil durumlar karşısında, anlaşma belirli varlıkların borçlanma işlevini yasaklayabilir. Aave v2'de şu anda 300 milyondan fazla CRV arzı var (CRV kurucusu Michwill'in arzının yaklaşık %95'i) ve yalnızca yaklaşık 35 milyon CRV ödünç verildi.

Şu anda Aave'de USDC, USDT ve DAI gibi dayanak varlıkların mevduat ve borç verme APY'si önemli ölçüde arttı.Mevcut USDC mevduat ve borç verme APY'si hala %20'yi ve USDT %25'i aşıyor. Curve hacker'ı (0xb1...c148) 4,6 milyon ABD doları değerinde 7.193.402 CRV kar elde ettiğinden, kullanıcılar Curve'un kurucusu Michwill'in devasa CRV tasfiyesi ve zincirleme reaksiyon (zincirdeki CRV bir kez 0,08 $'a düştü, ancak Chainlink oracle'ları dahil edilmedi, bu nedenle tasfiyeler tetiklenmedi).

Şu anda Michwill'in Aave v2'de 293.020.675 CRV teminatı (187 milyon $) ve 59.674.100 USDT borcu ve yaklaşık 0,37 $ tasfiye sınırı var; Fraxlend'in 71.107.195 CRV teminatı (445.46 milyon $) ve 21.337.989 FRAX borcu (2130 milyon dolar), tasfiye 63.404.437 CRV teminatı ( Abracadabra'da 18.787.110 MIM borcu, tasfiye hattı ~0,39 $; 25.128.033 CRV teminatı (16 milyon $) ve Inverse'de 7.689.209 DOLA borcu, tasfiye hattı ~0.4 $0.4. Son 6 saat içinde Michwill, borcun bir kısmını arka arkaya ödedi.

SlowMist @IM_23pds, resmi Vyper belgesi tarafından önerilen versiyonun aslında kusurlu bir versiyon olduğuna dikkat çekti; Cosine, akıllı sözleşme dili katmanındaki hataların bazı iyi bilinen projelerin yeniden giriş kilidi savunmasının başarısız olmasına neden olduğuna dikkat çekti ve siyah ve beyaz beyaz şapkalı bilgisayar korsanları ve MEV Botları çıldırdı Her türlü yeniden giriş manipülasyonu ve önden koşma fonları aldı. En çok korktuğum şey, bu tür bir temel katman güvenlik açığı, Neyse ki, bu sefer bir sorunu olan Solidity değil, daha az popüler olan Vyper. Veya daha da ötesi, bu bir EVM veya daha temel bir katman sorunu değildir.