У цій статті розглядаються серійні атаки, спричинені збоєм мови програмування Vyper

Автор: Wu Shuo Blockchain

процес

О 21:34 30 липня PeckShield виявив підозру в атаці на угоду про кредитування NFT JPEG'd. О 21:10 більше 6100 WETH (вартістю близько 11,45 мільйонів доларів США) було переведено на адресу: 0x94…A6Ab . За даними Curve Finance, JPEG'd зазнав атаки повторного входу лише для читання. Наразі ціна pETH у пулі pETH-ETH на Curve впала до 383 доларів. pETH — це похідний актив ETH, випущений JPEG'd. JPEG'd написав у Твіттері, що пул кривих pETH-ETH зазнав атаки, контракт сховища, який дозволяє запозичувати NFT, все ще безпечний і стабільний, а NFT і казначейські активи не постраждали.

22:50 Атаковано msETH-ETH.

23:34 Атаковано alETH-ETH.

О 0:44 31 липня мова програмування Ethereum Vyper повідомила у Twitter, що блокування повторного входу Vyper версій 0.2.15, 0.2.16 і 0.3.0 недійсні.

0:45 В офіційному дописі Curve у Twitter зазначено, що через збій блокування повторного входу багато пулів стейблкойнів (alETH/msETH/pETH), які використовують Vyper 0.2.15, зазнали атаки, а інші пули були в безпеці.

0:57 Це вплинуло на статистику Paidun Угода про позику DeFi Alchemix, угода про позику NFT JPEG'd, угода про синтетичні активи DeFi MetronomeDAO, міжланцюговий міст deBridge і проект DEX Ellipsis у ланцюжку BNB, що використовує механізм Curve, зазнали несправності сукупні збитки становлять понад 26,76 млн доларів США.

2:46 Metronome опублікував документ, у якому йдеться про те, що в якості запобіжного заходу функцію основної мережі Metronome призупинено.

3:08 CRV-ETH було атаковано, і найнижчий CRV у ланцюжку впав приблизно до 0,08. Однак, оскільки ціна AAVE була взята з Chainlink, остання не відображала аномальну ціну, тому позиція засновника Curve Майкла Єгорова в AAVE не була ліквідована.

Згідно з @Super4DeFi, протягом цього періоду деякі арбітражери придбали 600 alteth за 0,1 ETH і 1200 alteth за 4 ETH. Alchemix офіційно опублікував заяву, в якій говориться, що пул alETH-ETH втратив 5000 ETH, а поточний alteth = 0,7 ETH. OlympusDAO відокремився від fraxBP, конвертував державний стейблкоїн у 1800 штук DAI і розмістив його в DSR, а решта 7 мільйонів доларів США також були готові обміняти на DAI.

О 7:26 Пайдун ще раз підрахував, що збитки від інциденту безпеки перевищили 51,95 мільйона доларів США.

7:50 CRV/ETH Pool Mev Bot deployer c0ffeebabe.eth повернув 2879,54 ETH розгортачу Curve Finance на суму приблизно 5,39 мільйона доларів.

О 9:37 найбільша біржа Південної Кореї, Upbit, оголосила, що через атаку на деякі пули стейблкойнів Curve CRV сильно коливався, а послуги депозиту та зняття коштів Curve (CRV) призупинено.

Інші ефекти

Згідно з даними defillama, TVL Curve Finance знизився на 43,6% за 24 години до 1,84 мільярда доларів США; Convex Finance TVL знизився на 48,5% за 24 години до 14,9 мільярда доларів США.

Версія Aave Ethereum v2 вимкнула функцію запозичення CRV (імовірно, щоб запобігти трейдерам від використання вразливості Curve для паніки, а зловмисне замикання запозиченого CRV спонукає до серійної ліквідації). Згідно з пропозицією AIP-125, ухваленою керівництвом Aave, в умовах деяких надзвичайних ситуацій угода може забороняти запозичення певних активів. Наразі в Aave v2 є понад 300 мільйонів CRV (приблизно 95% від пропозиції засновника CRV Мічвілла), і лише близько 35 мільйонів CRV було позичено.

Наразі APY депозитів і позик базових активів, таких як USDC, USDT і DAI в Aave, значно зріс. Поточний APY депозитів і позик USDC все ще перевищує 20%, а USDT перевищує 25%. Оскільки хакер Curve (0xb1...c148) отримав прибуток у розмірі 7 193 402 CRV на суму 4,6 мільйона доларів США, користувачі все ще стурбовані величезною ліквідацією CRV засновника Curve Мічвіллом і ланцюговою реакцією (один раз CRV у ланцюжку впав до 0,08 $, але оракули Chainlink не були включені, тому ліквідації не запускалися).

Наразі Michwill має 293 020 675 застави CRV (187 мільйонів доларів США) і борг 59 674 100 доларів США в Aave v2, з ліквідаційною лінією близько 0,37 долара США; Fraxlend має 71 107 195 застави CRV (445,46 мільйонів доларів США) і борг 21 337 989 FRAX (2130 мільйонів доларів), ліквідний застава 63 404 437 CRV ( $31,9 млн) і 18 787 110 боргів MIM в Abracadabra, лінія ліквідації ~$0,39; 25 128 033 CRV застави ($16 млн) і 7 689 209 боргів DOLA в Inverse, лінія ліквідації ~$0,4 $0,4. За останні 6 годин Michwill послідовно погасив частину боргу.

SlowMist @IM_23pds зазначив, що версія, рекомендована офіційним документом Vyper, насправді є помилковою версією; Cosine зазначив, що помилки в мовному рівні смарт-контракту спричинили збій захисту блокування повторного входу деяких відомих проектів, чорно-біле hat хакери та боти MEV зійшли з розуму. Всілякі маніпуляції з повторним входом і фронт-ранінг забирали кошти. Найбільше я боюся такої вразливості базового рівня.На щастя, цього разу проблема не в Solidity, а в менш популярного Vyper. Або навіть далі, це не проблема EVM чи щось більш фундаментальне.