Một số nhóm ổn định trên Curve Finance sử dụng Vyper đã bị khai thác vào ngày 30 tháng 7, với khoản lỗ lên tới hơn 47 triệu USD. Theo Vyper, các phiên bản 0.2.15, 0.2.16 và 0.3.0 của nó dễ bị trục trặc với khóa truy cập lại.
“Cuộc điều tra đang diễn ra nhưng bất kỳ dự án nào dựa trên các phiên bản này nên liên hệ ngay với chúng tôi,” Vyper viết trên X. Dựa trên phân tích các hợp đồng bị ảnh hưởng bởi công ty bảo mật Ancilia, 136 hợp đồng đã sử dụng Vyper 0.2.15 với tính năng bảo vệ người đăng ký lại, 98 hợp đồng đã sử dụng Vyper 0.2.16 và 226 hợp đồng đã sử dụng Vyper 0.3.0.
A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.
Other pools are safe. https://t.co/eWy2d3cDDj
— Curve Finance (@CurveFinance) July 30, 2023
Theo điều tra ban đầu, một số phiên bản của trình biên dịch Vyper không triển khai chính xác trình bảo vệ truy cập lại, điều này ngăn nhiều chức năng được thực thi cùng lúc bằng cách khóa hợp đồng. Các cuộc tấn công vào lại có khả năng rút hết tiền từ một hợp đồng.
Vyper là một ngôn ngữ lập trình Pythonic, hướng đến hợp đồng, nhắm mục tiêu Máy ảo Ethereum (EVM) . Những điểm tương đồng của Vyper với Python khiến ngôn ngữ này trở thành một trong những điểm khởi đầu cho các nhà phát triển Python nhảy vào Web3.
Một số dự án tài chính phi tập trung đã bị ảnh hưởng bởi cuộc tấn công. Sàn giao dịch phi tập trung Ellipsis đã báo cáo rằng một số lượng nhỏ nhóm ổn định với BNB đã bị khai thác bằng trình biên dịch Vyper cũ. Alchemix’s alETH-ETH cũng chứng kiến 13,6 triệu đô la chảy ra, cùng với 11,4 triệu đô la được khai thác trên nhóm pETH-ETH của JPEGd và 1,6 triệu đô la trong nhóm sETH-ETH của Metronome. Giám đốc điều hành Curving Finance Michael Egorov sau đó đã xác nhận 32 triệu mã thông báo CRV trị giá hơn 22 triệu đô la đã bị rút khỏi nhóm hoán đổi trong kênh Telegram.
Certain type of Curve factory pool is encountering read-only reentrancy attack and causing a total loss of $11m(@JPEGd_69) + $13m(@AlchemixFi) + …
Initial investigation founds that vyper compiler (0.2.15) doesn’t implement the reentrancy guard correctly.
add_liquidity and… pic.twitter.com/avaHdtSFsm— Tony KΞ (@tonyke_bot) July 30, 2023
Việc khai thác đã gây ra sự hoảng loạn trên toàn hệ sinh thái DeFi, thúc đẩy một làn sóng giao dịch trên các nhóm và chiến dịch giải cứu mũ trắng. Dữ liệu từ CoinMarketCap cho thấy mã thông báo tiện ích Curve DAO (CRV) của Curve Finance giảm hơn 5% trước tin tức này. Tính thanh khoản của CRV đã giảm đáng kể trong những tháng gần đây, khiến nó dễ bị biến động giá dữ dội . Theo Curve Finance, các hợp đồng crvUSD và bất kỳ nhóm nào với nó không bị ảnh hưởng bởi cuộc tấn công.
Curve Finance là một giao thức DeFi cho phép trao đổi phi tập trung (DEX) của stablecoin trong Ethereum. Giao thức đã được nhắm mục tiêu bởi một loạt các sự cố trong hệ sinh thái của nó. Chỉ vài ngày trước, nền tảng đa quỹ Conic Finance của nó đã được khai thác với giá 3,26 triệu đô la ETH, với gần như toàn bộ số tiền bị đánh cắp được gửi đến một địa chỉ Ethereum mới chỉ trong một giao dịch.
Các giao thức DeFi đã trở thành mục tiêu của nhiều cuộc tấn công trong những tháng qua . Theo một báo cáo của ứng dụng danh mục đầu tư Web3 De.Fi, hơn 204 triệu đô la đã bị lừa thông qua các vụ hack và lừa đảo DeFi chỉ trong quý 2 năm 2023.