Bài viết này phân loại các cuộc tấn công hàng loạt do lỗi ngôn ngữ lập trình Vyper gây ra

Tác giả: Wu Shuo Blockchain

quá trình

Vào lúc 21:34 ngày 30/7, PeckShield phát hiện hợp đồng cho vay NFT JPEG'd nghi bị tấn công, đến 21:10, hơn 6.100 WETH (trị giá khoảng 11,45 triệu USD) đã được chuyển đến địa chỉ: 0x94…A6Ab . Theo Curve Finance, JPEG'd đã bị tấn công vào lại chỉ đọc. Hiện tại, giá của pETH trong pool pETH-ETH trên Curve đã giảm xuống còn $383. pETH là tài sản phái sinh ETH do JPEG'd phát hành. JPEG đã tweet rằng nhóm đường cong pETH-ETH đã bị tấn công, hợp đồng kho tiền cho phép vay NFT vẫn an toàn và ổn định, đồng thời NFT và tài sản kho bạc không bị ảnh hưởng.

22:50 msETH-ETH bị tấn công.

23:34 alETH-ETH bị tấn công.

Vào lúc 0:44 ngày 31 tháng 7, ngôn ngữ lập trình Ethereum Vyper đã tweet rằng khóa truy cập lại của các phiên bản Vyper 0.2.15, 0.2.16 và 0.3.0 không hợp lệ.

0:45 Bài đăng trên Twitter chính thức của Curve cho biết rằng do khóa vào lại không thành công, nhiều nhóm stablecoin (alETH/msETH/pETH) sử dụng Vyper 0.2.15 đã bị tấn công và các nhóm khác vẫn an toàn.

0:57 Số liệu thống kê của Paidun đã bị ảnh hưởng bởi điều này. lỗ lũy kế hơn 26,76 triệu đô la Mỹ.

2:46 Metronome đã ban hành một tài liệu nói rằng như một biện pháp phòng ngừa, chức năng mạng chính của Metronome đã bị đình chỉ.

3:08 CRV-ETH bị tấn công và CRV thấp nhất trên chuỗi giảm xuống còn khoảng 0,08. Tuy nhiên, vì giá của AAVE được lấy từ Chainlink, nên giá sau không phản ánh giá bất thường, vì vậy người sáng lập Curve, Michael Egorov, đã thay thế vị trí của AAVE trong AAVE đã không được thanh lý.

Theo @Super4DeFi, trong khoảng thời gian này, một số nhà kinh doanh chênh lệch giá đã mua 600 đồng tiền thay thế với 0,1 ETH và 1200 đồng tiền thay thế với 4 ETH. OlympusDAO đã tách khỏi fraxBP, chuyển đổi stablecoin kho bạc thành 1800 mẩu DAI và gửi vào DSR, 7 triệu USDC còn lại cũng đã sẵn sàng để đổi lấy DAI.

Vào lúc 7:26, Paidun một lần nữa thống kê rằng thiệt hại do sự cố an ninh đã vượt quá 51,95 triệu đô la Mỹ.

7:50 CRV/ETH Nhà triển khai Mev Bot c0ffeebabe.eth đã trả lại 2.879,54 ETH cho nhà triển khai Curve Finance, trị giá khoảng 5,39 triệu USD.

Vào lúc 9:37, sàn giao dịch lớn nhất của Hàn Quốc, Upbit, đã thông báo rằng do cuộc tấn công vào một số nhóm stablecoin của Curve, CRV đã dao động rất nhiều và các dịch vụ gửi và rút tiền của Curve (CRV) đã bị đình chỉ.

Các hiệu ứng khác

Theo dữ liệu của defillama, Curve Finance TVL giảm 43,6% trong 24 giờ xuống còn 1,84 tỷ USD; Convex Finance TVL giảm 48,5% trong 24 giờ xuống còn 14,9 tỷ USD.

Phiên bản Aave Ethereum v2 đã vô hiệu hóa chức năng vay CRV (có thể là để ngăn các nhà giao dịch sử dụng lỗ hổng Curve để gây hoảng loạn và hành vi bán khống độc hại của CRV đã mượn sẽ dẫn đến thanh lý hàng loạt). Theo đề xuất AIP-125 được quản trị Aave thông qua, trước một số trường hợp khẩn cấp, thỏa thuận có thể cấm chức năng vay của các tài sản cụ thể. Hiện tại có hơn 300 triệu CRV được cung cấp trong Aave v2 (khoảng 95% từ nguồn cung cấp của người sáng lập CRV Michwill) và chỉ có khoảng 35 triệu CRV đã được cho mượn.

Hiện tại, APY tiền gửi và cho vay của các đối tượng như USDC, USDT và DAI trong Aave đã tăng lên đáng kể. APY tiền gửi và cho vay USDC hiện tại vẫn là hơn 20% và USDT là hơn 25%. Kể từ khi hacker Curve (0xb1...c148) kiếm được 7.193.402 CRV trị giá 4,6 triệu đô la Mỹ, người dùng vẫn lo lắng về việc thanh lý CRV khổng lồ của Michwill, người sáng lập Curve và phản ứng dây chuyền (CRV trên chuỗi từng giảm xuống 0,08 đô la, nhưng các nhà tiên tri Chainlink không được bao gồm, vì vậy việc thanh lý không được kích hoạt).

Hiện Michwill có 293.020.675 tài sản thế chấp CRV (187 triệu đô la) và khoản nợ 59.674.100 USDT trong Aave v2, với hạn mức thanh lý khoảng 0,37 đô la; Fraxlend có 71.107.195 tài sản thế chấp CRV (445,46 triệu đô la) và 21.337.989 khoản nợ FRAX (2130 triệu đô la), thanh lý 63.404,43 7 tài sản thế chấp CRV ( 31,9 triệu đô la) và 18.787.110 khoản nợ MIM trong Abracadabra, dòng thanh lý ~ 0,39 đô la; 25.128.033 tài sản thế chấp CRV (16 triệu đô la) và 7.689.209 khoản nợ DOLA trong Inverse, dòng thanh lý ~ 0,4 đô la 0,4 đô la. Trong 6 giờ qua, Michwill đã liên tiếp trả xong một phần món nợ.

SlowMist @IM_23pds đã chỉ ra rằng phiên bản được đề xuất bởi tài liệu chính thức của Vyper thực sự là một phiên bản có lỗi; Cosine chỉ ra rằng các lỗi trong lớp ngôn ngữ hợp đồng thông minh đã khiến việc bảo vệ khóa truy cập lại của một số dự án nổi tiếng bị lỗi và tin tặc mũ trắng và MEV Bots phát điên Tất cả các loại thao túng vào lại và chạy trước đã lấy đi tiền. Điều tôi sợ nhất là loại lỗ hổng lớp cơ sở này, may mắn thay, lần này không phải Solidity mà là Vyper ít phổ biến hơn gặp sự cố. Hoặc thậm chí xa hơn, đó không phải là vấn đề về EVM hay thứ gì đó cơ bản hơn.