Stable pool หลายแห่งบน Curve Finance ที่ใช้ Vyper ถูกโจมตีในวันที่ 30 กรกฎาคม โดยเสียหายถึงกว่า 47 ล้านดอลลาร์ (1,600 ล้านบาท) ซึ่งจากข้อมูลของ Vyper พบว่า เวอร์ชั่น 0.2.15, 0.2.16 และ 0.3.0 นั้นมีความเสี่ยงที่ reentrancy locks จะทำงานผิดพลาด
“การสืบสวนยังดำเนินอยู่ แต่โครงการใดก็ตามที่ใช้เวอร์ชันเหล่านี้ควรติดต่อเราทันที” Vyper เขียนบน X
จากการวิเคราะห์สัญญาที่ได้รับผลกระทบโดยบริษัทรักษาความปลอดภัย Ancilia พบว่า มี 136 สัญญาที่ใช้ Vyper 0.2.15 พร้อม reentrant protection และ 98 สัญญา ใช้ Vyper 0.2.16 และ 226 สัญญา ใช้ Vyper 0.3.0
จากการตรวจสอบเบื้องต้นพบว่า Vyper compiler บางเวอร์ชันไม่ได้ติดตั้ง Reentrancy Guard อย่างถูกต้อง ซึ่งจะป้องกันไม่ให้มีการเรียกใช้งานหลายฟังก์ชันพร้อมกันโดยการล็อกสัญญา ซึ่งการโจมตี Reentrancy อาจทำให้สามารถขโมยเงินทุนทั้งหมดออกจากสัญญาได้
การถูกโจมตีครั้งนี้ทำให้เกิดความตื่นตระหนกทั่วทั้งระบบนิเวศของ DeFi และทำให้เกิดการทำธุรกรรมข้าม pool รวมถึงปฏิบัติการช่วยเหลือจากกลุ่มแฮ็กเกอร์หมวกขาว โดยข้อมูลจาก CoinMarketCap แสดงให้เห็นว่าโทเค็นยูทิลิตี้ของ Curve Finance Curve DAO (CRV) ลดลงมากกว่า 5% ตามข่าว และสภาพคล่องของ CRV ลดลงอย่างมากในช่วงหลายเดือนที่ผ่านมา ทำให้มีความเสี่ยงต่อความผันผวนของราคาอย่างรุนแรง โดย Cointelegraph รายงานจากข้อมูลของ Curve Finance พบว่า สัญญา crvUSD และ pool ที่เกี่ยวข้องไม่ได้รับผลกระทบจากการโจมตี
อ้างอิง : cointelegraph
ภาพ decrypt