Có lỗ hổng trong một số phiên bản của ngôn ngữ Vyper và các dự án như Curve đã bị tấn công

Vào ngày 30 tháng 7, giờ Bắc Kinh, một số phiên bản của ngôn ngữ lập trình hợp đồng thông minh Vyper đã bị phát hiện có lỗ hổng nghiêm trọng và do đó một số dự án quan trọng bao gồm Curve Finance đã bị tấn công.

Theo thông báo trên Twitter của Vyper, ngôn ngữ lập trình hợp đồng thông minh Ethereum, ba trong số các phiên bản của nó — 0.2.15, 0.2.16 và 0.3.0 — có các lỗ hổng nghiêm trọng có thể vô hiệu hóa khóa đăng nhập lại của chúng. Đối với các dự án blockchain, sự cố này có thể khiến quá trình thực hiện hợp đồng bị gián đoạn hoặc tạo ra những kết quả khó lường, từ đó ảnh hưởng đến sự ổn định của toàn hệ thống. Trong thông báo, nhóm Vyper đặc biệt khuyến nghị tất cả các dự án sử dụng các phiên bản bị ảnh hưởng này nên liên hệ ngay với họ để được hỗ trợ kỹ thuật và giải pháp kịp thời.

Tuy nhiên, tác động của lỗ hổng này đã xảy ra. Nhóm Curve sau đó đã tweet một phút sau đó rằng một số pool ổn định sử dụng Vyper phiên bản 0.2.15, bao gồm alETH, msETH và pETH, đã bị tấn công mạng do chức năng khóa vào lại không thành công. Lỗ hổng này cho phép kẻ tấn công thực hiện một số chức năng nhất định nhiều lần trong một giao dịch, có khả năng gây ra thiệt hại đáng kể cho các dự án chuỗi khối liên quan.

Nhóm Curve cũng hứa rằng các nhóm khác an toàn và lỗ hổng này chưa từng được chú ý trong quá trình phát triển trước đó cho đến ngày hôm nay. Mã thông báo của Curve cũng giảm mạnh cùng lúc, mất 15,45% trong ngày.

!

Tuyên bố trên Twitter của Curve.

Nhiều dự án bị ảnh hưởng Theo Supremacy, một công ty theo dõi dữ liệu trên chuỗi, thỏa thuận cam kết NFT JPEG'd đã bị ảnh hưởng bởi lỗ hổng reentrancy và tài sản bị đánh cắp đã lên tới khoảng 10 triệu đô la Mỹ. Ngay sau đó, Paidun và Hexagate, hai tài khoản bảo mật khác trên chuỗi, cũng đã tweet @JPEG'd bên dự án, tuyên bố rằng giao dịch là một giao dịch của tin tặc. Sự cố này đã khiến giá trị mã thông báo của JPEG'd giảm mạnh, từ mức ổn định khoảng 0,00062 xuống 0,0003 và hiện giá trị này đã phục hồi về 0,00049, mức giảm trong một ngày là 21,63%.

Giá mã thông báo JPEG'd. Nguồn: Coinmarketcap

Dự án JPEG'd cũng đã phản hồi sau khi phát hành Curve, tuyên bố rằng "giao thức của chúng tôi không nằm trong phạm vi của sự cố hack này và các nhà phát triển của chúng tôi rất mạnh."

Ngoài ra, hai bên dự án khác cũng bị ảnh hưởng: Theo Hexagate, dự án cho vay AlchemixFi và giao thức DeFi MetronomeDAO cũng bị tấn công và những kẻ tấn công đã kiếm được tổng cộng 13 triệu USD và 1,6 triệu USD tiền lãi. Cả hai dự án đều đưa ra tuyên bố vào lần đầu tiên. Alchemix tuyên bố đã nhận thấy sự cố hack, điều này có thể dẫn đến sự bất ổn về giá của mã thông báo dự án và đề nghị LP rút thanh khoản khỏi nhóm càng sớm càng tốt.

MetronomeDAO cho biết: "Bất kỳ nhà cung cấp nào cung cấp thanh khoản trên các cặp msUSD và người dùng Lạc quan tương tác với msETH trên Velodrome, nên lưu ý rằng các vị trí của họ không bị ảnh hưởng. Ngoài ra, tất cả các khoản tiền gửi và vị trí mở của Metronome đều không bị ảnh hưởng bởi sự cố này."