Tieši 30. jūlijā blokķēdes tehnoloģiju un kriptovalūtu industrija saskārās ar nopietnu krīzi. Dažiem decentralizēto finanšu (DeFi) protokoliem, kas izstrādāti, izmantojot Vyper programmēšanas valodu, hakeri uzbruka, izmantojot ievainojamības, kā rezultātā tika nozagti desmitiem miljonu dolāru digitālie aktīvi. Šie uzbrukuma protokoli ietver Curve Finance, Alchemix, PEGd, Metronome utt., kas ietver dažādas stabilas monētas un žetonus. Šis incidents izraisīja paniku un šaubas sabiedrībā, kā arī atklāja nepilnības un izaicinājumus blokķēdes tehnoloģijas un kriptovalūtu nozares drošībā, uzticamībā un ilgtspējībā.
process
30. jūlijā pulksten 22:04 tika uzbrukts PETH/ETH.
Tika atklāts, ka JPEG'd tika uzbrukts un zaudējumi bija vismaz aptuveni 10 miljoni ASV dolāru. JPEG uzbrukuma galvenais iemesls bija atkārtota ienākšana. Uzbrucējs pievienoja likviditāti, izsaucot funkciju remove_liquidity, lai noņemtu likviditāti. Tā kā atlikums tika atjaunināts pirms atkārtotas ievadīšanas funkcijā add_liquidity.
22:50 msETH-ETH tika uzbrukts.
23:34 alETH-ETH tika uzbrukts.
0:44 minūtes vyper oficiālā izlaišana
Vyper versijas 0.2.15, 0.2.16 un 0.3.0 ietekmē atkārtotas ieejas bloķēšanas kļūme, un izmeklēšana turpinās.
0:45min tvītoja Curve Finance
Dažiem stabiliem pūliem (alETH/msETH/pETH), kas izmanto Vyper 0.2.15, tiek uzbrukts atkārtotas ieejas bloķēšanas kļūmes dēļ. Pašlaik Curve izvērtē situāciju un citi baseini ir droši. Turklāt Curve arī norādīja, ka "bīstamā kombinācija ir ietekmēta Vyper versija un tīra ETH izmantošana."
03:08 minūtes
CRV-ETH tika uzbrukts, un ķēdes CRV nokritās līdz aptuveni 0,08. Tomēr, tā kā AAVE cena ir ņemta no Chainlink, par laimi, Chainlink pieņēma svērto kotēšanas loģiku "CEX + DEX" un noteica zemāko cenu. 0,59 USD, kas padarīja Curve dibinātāja Maikla Egorova amatu AAVE nav likvidēta. Pretējā gadījumā pietiks ar virkni likvidāciju, lai iznīcinātu visu Defi nozari.
Varat iedomāties, kā būtu nākošajā rītā sanākt kopā un uzreiz pazust visa Defi. Sākotnēji jūs gribējāt gūt stabilus ienākumus no kalnrūpniecības, bet, pieceļoties, konstatējāt, ka raktuves ir sabrukušas.
turpmākā ietekme
Līdz šim šī ievainojamība ir skārusi kopumā četrus protokolus, proti, CurveFinance, Alchemix, PEGd un Metronome. Kopējā zaudējumu summa no šiem protokoliem ir aptuveni 70 miljoni USD, kas ietver dažādas stabilas monētas un žetonus. Konkrēta zaudējumu summa ir šāda:
· Curve Finance: aptuveni 25 miljoni ASV dolāru, galvenokārt tāpēc, ka tika uzbrukts CRV/ETH pūlam.
·Alchemix: aptuveni 19 miljoni ASV dolāru, galvenokārt uzbrukuma ALCX/ETH pūlam dēļ.
·PEGd: aptuveni 15 miljoni ASV dolāru, galvenokārt pateicoties uzbrukumam PEG/ETH baseinam.
·Metronoms: aptuveni 11 miljoni ASV dolāru, galvenokārt uzbrukuma MET/ETH baseinam dēļ.
Curve Finance TVL 24 stundu laikā samazinājās par 43,6% un pašlaik ir 1,84 miljardi ASV dolāru, un šobrīd Convex Finance TVL ir samazinājies par 48,5% 24 stundu laikā un pašlaik ir 14,9 miljardi ASV dolāru;
Vyper kompilatora ievainojamība
Vyper kompilatora ievainojamība attiecas uz atkārtotas ieejas bloķēšanas kļūmes problēmu, kas pastāv noteiktās Vyper programmēšanas valodas versijās. Vyper ir līgumprogrammēšanas valoda, kas īpaši izstrādāta Ethereum virtuālajai mašīnai (EVM), kas tiek uzskatīta par drošāku, vienkāršāku un lasāmāku valodu. Daudzi DeFi protokoli izmanto Vyper, lai izstrādātu viedos līgumus dažādu finanšu funkciju īstenošanai.
Atkārtotas iekļūšanas slēdzenes ir mehānisms, kas novērš atkārtotas ievadīšanas uzbrukumus. Atkārtotas iekļūšanas uzbrukums nozīmē, ka, kad viens līgums izsauc citu līgumu, pirms pirmais līgums ir pabeigts, otrais līgums atkārtoti izsauc pirmo līgumu, izraisot pirmā līguma izpildi vairākas reizes un, iespējams, izraisot datu vai līdzekļu viltošanu vai nozagšanu. Atkārtota bloķēšana tiek īstenota, iestatot stāvokļa mainīgo. Kad tiek izsaukts līgums, šis mainīgais tiek iestatīts uz bloķētu stāvokli. Tādā veidā, ja kāds cits līgums mēģinās atkārtoti izsaukt šo līgumu līguma izpildes laikā, tas tiks noraidīts, tādējādi novēršot atkārtotas ienākšanas uzbrukumus.
Vyper kompilatora ievainojamība nozīmē, ka dažās Vyper versijās atkārtotas ievadīšanas bloķēšanas stāvokļa mainīgie nav iestatīti un atjaunoti pareizi, kā rezultātā atkārtotas ievadīšanas bloķēšana kļūst nederīga, tādējādi daži līgumi, kas izstrādāti, izmantojot Vyper, ir neaizsargāti pret atkārtotas piekļuves uzbrukumiem. Saskaņā ar BlockSec komandas analīzi, ievainojamība ir saistīta ar Vyper opciju, ko sauc par "use_eth", kas ļauj līgumā pieņemt Ethereum (ETH) kā maksājuma vai vērtības uzglabāšanas metodi. Ja līgumā tiek izmantota šī iespēja un tas mijiedarbojas ar kopu, kurā ir iesaiņots ēteris (WETH), līgums var būt neaizsargāts pret atkārtotas ienākšanas uzbrukumu.
Šīs ievainojamības pazīmes ir samērā slēptas un izplatītas. Tas ir paslēpts Vyper kompilatora iekšējā loģikā, un izstrādātājiem vai lietotājiem to nav viegli atklāt. Tas ir izplatīts vairākās Vyper versijās un ietekmē vairākus DeFi protokolus un pūlus. Šīs ievainojamības rezultātā hakeri nozaga digitālos aktīvus desmitiem miljonu dolāru apmērā, radot milzīgus zaudējumus DeFi protokoliem un lietotājiem. Tajā pašā laikā tas ir skāris DeFi protokolu un lietotāju pārliecību un uzticēšanos Vyper programmēšanas valodai un blokķēdes tehnoloģijai, kā arī negatīvi ietekmējis blokķēdes tehnoloģiju un kriptovalūtas nozari. ,
Šoreiz ietekme nebūt nav pilnībā redzama, un, iespējams, ir gaidāma lielāka vētra.