У деяких версіях мови Vyper є вразливості, а такі проекти, як Curve, піддавалися атакам

30 липня за пекінським часом у деяких версіях мови програмування смарт-контрактів Vyper були виявлені серйозні вразливості, і тому були атаковані деякі важливі проекти, зокрема Curve Finance.

Згідно з повідомленням у Twitter Vyper, мови програмування смарт-контрактів Ethereum, три його версії — 0.2.15, 0.2.16 і 0.3.0 — мають серйозні вразливості, які можуть вимкнути їх блокування повторного входу. Для блокчейн-проектів ця проблема може призвести до переривання процесу виконання контракту або призвести до непередбачуваних результатів, що вплине на стабільність усієї системи. В повідомленні команда Vyper наполегливо рекомендує всім проектам, які використовують ці уражені версії, негайно зв’язатися з ними для своєчасної технічної підтримки та рішень.

Однак вплив цієї вразливості вже відбувся. Через хвилину команда Curve повідомила у Twitter, що деякі стабільні пули, які використовують Vyper версії 0.2.15, включаючи alETH, msETH і pETH, зазнали кібератак через збій функції блокування повторного входу. Ця вразливість дозволяє зловмисникам виконувати певні функції кілька разів під час однієї транзакції, потенційно завдаючи значної шкоди пов’язаним проектам блокчейну.

Команда Curve також обіцяє, що інші пули безпечні, і ця вразливість ніколи не була помічена під час попереднього процесу розробки до сьогодні. Токен Curve також різко впав у той же час, втративши 15,45% за день.

!

Заява Curve у Twitter.

Постраждали кілька проектів. Згідно з Supremacy, мережевим монітором даних, угода про заставу NFT JPEG'd постраждала від уразливості повторного входу, а викрадені активи сягнули приблизно 10 мільйонів доларів США. Одразу після цього Paidun і Hexagate, два інші облікові записи безпеки в ланцюжку, також написали у Twitter @JPEG'd project party, заявивши, що транзакція була хакерською. Цей інцидент спричинив падіння вартості токена JPEG'd зі стабільного рівня приблизно 0,00062 до 0,0003, і тепер воно відновилося до 0,00049, падіння за один день на 21,63%.

Ціна токена JPEG. Джерело: Coinmarketcap

Проект JPEG'd також відповів після випуску Curve, заявивши, що «наш протокол не входить до сфери дії цього хакерського інциденту, і наші розробники дуже потужні».

Крім того, постраждали ще дві сторони проекту: за даними Hexagate, проект кредитування AlchemixFi та протокол DeFi MetronomeDAO також були атаковані, і зловмисники отримали загальний прибуток у розмірі 13 мільйонів доларів та 1,6 мільйона доларів. Обидва проекти зробили заяву вперше.Alchemix стверджувала, що помітила хакерський інцидент, який може призвести до нестабільності ціни на токени проекту, і запропонувала LP якомога швидше вилучити ліквідність з пулу.

MetronomeDAO заявив: «Будь-який постачальник, який надає ліквідність на парах msUSD, і користувачі Optimism, які взаємодіють з msETH на Velodrome, повинні зауважити, що це не впливає на їхні позиції. Крім того, цей інцидент не впливає на всі депозити та відкриті позиції Metronome».