Proprio il 30 luglio l’industria della tecnologia blockchain e delle criptovalute ha attraversato una grave crisi. Alcuni protocolli di finanza decentralizzata (DeFi) sviluppati utilizzando il linguaggio di programmazione Vyper sono stati attaccati da hacker che sfruttavano le vulnerabilità, provocando il furto di decine di milioni di dollari in risorse digitali. Questi protocolli attaccati includono Curve Finance, Alchemix, PEGd, Metronome, ecc., che coinvolgono una varietà di stablecoin e token. Questo incidente ha scatenato panico e dubbi nella comunità e ha anche messo in luce le carenze e le sfide nella sicurezza, nell’affidabilità e nella sostenibilità della tecnologia blockchain e del settore delle criptovalute.
processi
Alle 22:04 del 30 luglio, PETH/ETH è stato attaccato.
È stato rivelato che JPEG è stato attaccato e la perdita è stata di almeno circa 10 milioni di dollari USA. La causa principale dell'attacco JPEG è stata la rientranza. L'aggressore ha aggiunto liquidità rientrando nella funzione add_liquidity quando ha chiamato la funzioneremove_liquidity per rimuovere liquidità. Poiché il saldo è stato aggiornato prima del rientro nella funzione add_liquidity, si è verificato un errore nel calcolo del prezzo.
Alle 22:50 msETH-ETH è stato attaccato.
Alle 23:34 alETH-ETH è stato attaccato.
0:44 minuti Rilascio ufficiale vyper
Le versioni Vyper 0.2.15, 0.2.16 e 0.3.0 sono interessate da un errore di blocco del rientro e l'indagine è in corso.
0:45min Curve Finance ha twittato
Alcuni pool stabili (alETH/msETH/pETH) che utilizzano Vyper 0.2.15 sono sotto attacco a causa di un errore di blocco del rientro. Attualmente Curve sta valutando la situazione e le altre piscine sono sicure. Inoltre, Curve ha inoltre affermato che "la combinazione pericolosa è una versione compromessa di Vyper e l'uso di ETH puro".
03:08 minuti
CRV-ETH è stato attaccato e il CRV sulla catena è sceso al minimo di circa 0,08. Tuttavia, poiché il prezzo di AAVE è preso da Chainlink, fortunatamente Chainlink ha adottato la logica di quotazione ponderata di "CEX + DEX" e ha quotato il prezzo più basso. di $ 0,59, che ha reso la posizione del fondatore di Curve Michael Egorov in AAVE non è stata liquidata. Altrimenti basteranno una serie di liquidazioni per distruggere l’intera industria Defi.
Potete immaginare come sarebbe riunirsi la mattina dopo e vedere l'intera Defi scomparire immediatamente. Inizialmente volevi guadagnare un reddito stabile dall'attività mineraria, ma quando ti sei alzato hai scoperto che la miniera era crollata.
impatto successivo
Finora sono quattro i protocolli interessati da questa vulnerabilità: CurveFinance, Alchemix, PEGd e Metronome. L'importo totale delle perdite derivanti da questi protocolli è di circa 70 milioni di dollari, che includono una varietà di stablecoin e token. L’importo specifico della perdita è il seguente:
·Curve Finance: circa 25 milioni di dollari USA, soprattutto perché è stato attaccato il pool CRV/ETH.
·Alchemix: circa 19 milioni di dollari, principalmente a causa dell'attacco al pool ALCX/ETH.
·PEGd: circa 15 milioni di dollari USA, principalmente a causa dell'attacco al pool PEG/ETH.
·Metronomo: circa 11 milioni di dollari, principalmente a causa dell'attacco al pool MET/ETH.
Il TVL di Curve Finance è diminuito del 43,6% in 24 ore e attualmente ammonta a 1,84 miliardi di dollari; il TVL di Convex Finance è diminuito del 48,5% in 24 ore e attualmente ammonta a 14,9 miliardi di dollari;
Vulnerabilità del compilatore Vyper
La vulnerabilità del compilatore Vyper si riferisce a un problema di errore di blocco del rientro che esiste in alcune versioni del linguaggio di programmazione Vyper. Vyper è un linguaggio di programmazione a contratto progettato specificamente per l'Ethereum Virtual Machine (EVM), considerato un linguaggio più sicuro, più semplice e più leggibile. Molti protocolli DeFi utilizzano Vyper per sviluppare contratti intelligenti per implementare varie funzioni finanziarie.
I blocchi di rientro sono un meccanismo per prevenire gli attacchi di rientro. Un attacco di rientro significa che quando un contratto richiama un altro contratto, prima che il primo venga completato, il secondo contratto richiama nuovamente il primo, causando l'esecuzione più volte del primo contratto e potrebbe causare la manomissione di dati o fondi o rubato. Il blocco rientrante viene implementato impostando una variabile di stato Quando viene chiamato un contratto, questa variabile viene impostata sullo stato bloccato. Quando il contratto viene eseguito, questa variabile viene impostata sullo stato sbloccato. In questo modo, se un altro contratto tenta di richiamare nuovamente questo contratto durante l'esecuzione di un contratto, questo verrà rifiutato, prevenendo così attacchi di rientro.
La vulnerabilità del compilatore Vyper significa che in alcune versioni di Vyper, le variabili di stato del blocco di rientro non sono impostate e ripristinate correttamente, causando la non validità del blocco di rientro, rendendo così alcuni contratti sviluppati utilizzando Vyper vulnerabili agli attacchi di rientro. Secondo l'analisi del team BlockSec, la vulnerabilità è legata a un'opzione di Vyper chiamata "use_eth", che consente al contratto di accettare Ethereum (ETH) come metodo di pagamento o conservazione di valore. Se un contratto utilizza questa opzione e interagisce con un pool contenente Wrapped Ether (WETH), il contratto potrebbe essere vulnerabile a un attacco di rientro.
Le caratteristiche di questa vulnerabilità sono relativamente nascoste e comuni. È nascosto nella logica interna del compilatore Vyper e non viene scoperto facilmente dagli sviluppatori o dagli utenti. È prevalente in più versioni di Vyper e colpisce più protocolli e pool DeFi. Questa vulnerabilità ha comportato il furto di risorse digitali per decine di milioni di dollari da parte degli hacker, causando enormi perdite ai protocolli e agli utenti DeFi. Allo stesso tempo, ha colpito il protocollo DeFi e la fiducia degli utenti nel linguaggio di programmazione Vyper e nella tecnologia blockchain, e ha avuto un impatto negativo sulla tecnologia blockchain e sull'industria delle criptovalute. ,
Questa volta l’impatto è lungi dall’essere del tutto evidente e forse si sta preparando una tempesta più grande.