ข่าว

ด่วน!! Curve Finance pool ที่ใช้ Vyper ถูกโจมตี เสียหายกว่า 1,600 ล้านบาท

กรกฎาคม 31, 2023

Stable pool หลายแห่งบน Curve Finance ที่ใช้ Vyper ถูกโจมตีในวันที่ 30 กรกฎาคม โดยเสียหายถึงกว่า 47 ล้านดอลลาร์ (1,600 ล้านบาท) ซึ่งจากข้อมูลของ Vyper พบว่า เวอร์ชั่น 0.2.15, 0.2.16 และ 0.3.0 นั้นมีความเสี่ยงที่ reentrancy locks จะทำงานผิดพลาด

PSA: Vyper versions 0.2.15, 0.2.16 and 0.3.0 are vulnerable to malfunctioning reentrancy locks. The investigation is ongoing but any project relying on these versions should immediately reach out to us.
— Vyper (@vyperlang) July 30, 2023

“การสืบสวนยังดำเนินอยู่ แต่โครงการใดก็ตามที่ใช้เวอร์ชันเหล่านี้ควรติดต่อเราทันที” Vyper เขียนบน X

จากการวิเคราะห์สัญญาที่ได้รับผลกระทบโดยบริษัทรักษาความปลอดภัย Ancilia พบว่า มี 136 สัญญาที่ใช้ Vyper 0.2.15 พร้อม reentrant protection และ 98 สัญญา ใช้ Vyper 0.2.16 และ 226 สัญญา ใช้ Vyper 0.3.0

A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.

Other pools are safe. https://t.co/eWy2d3cDDj
— Curve Finance (@CurveFinance) July 30, 2023

จากการตรวจสอบเบื้องต้นพบว่า Vyper compiler บางเวอร์ชันไม่ได้ติดตั้ง Reentrancy Guard อย่างถูกต้อง ซึ่งจะป้องกันไม่ให้มีการเรียกใช้งานหลายฟังก์ชันพร้อมกันโดยการล็อกสัญญา ซึ่งการโจมตี Reentrancy อาจทำให้สามารถขโมยเงินทุนทั้งหมดออกจากสัญญาได้

Certain type of Curve factory pool is encountering read-only reentrancy attack and causing a total loss of $11m(@JPEGd_69) + $13m(@AlchemixFi) + …

Initial investigation founds that vyper compiler (0.2.15) doesn't implement the reentrancy guard correctly.

add_liquidity and… pic.twitter.com/avaHdtSFsm
— Tony KΞ (@tonyke_bot) July 30, 2023

การถูกโจมตีครั้งนี้ทำให้เกิดความตื่นตระหนกทั่วทั้งระบบนิเวศของ DeFi และทำให้เกิดการทำธุรกรรมข้าม pool รวมถึงปฏิบัติการช่วยเหลือจากกลุ่มแฮ็กเกอร์หมวกขาว โดยข้อมูลจาก CoinMarketCap แสดงให้เห็นว่าโทเค็นยูทิลิตี้ของ Curve Finance Curve DAO (CRV) ลดลงมากกว่า 5% ตามข่าว และสภาพคล่องของ CRV ลดลงอย่างมากในช่วงหลายเดือนที่ผ่านมา ทำให้มีความเสี่ยงต่อความผันผวนของราคาอย่างรุนแรง โดย Cointelegraph รายงานจากข้อมูลของ Curve Finance พบว่า สัญญา crvUSD และ pool ที่เกี่ยวข้องไม่ได้รับผลกระทบจากการโจมตี

อ้างอิง : cointelegraph
ภาพ decrypt

Radius

ผู้เชี่ยวชาญการเขียนข่าว บทความ ที่เกี่ยวข้องกับ Bitcoin , คริปโตเคอเรนซี่ และ Blockchain ทั้งในไทยและต่างประเทศ อัพเดทราคา มุมมองการลงทุน ใหม่ล่าสุดทุกวัน

ด่วน!! Curve Finance pool ที่ใช้ Vyper ถูกโจมตี เสียหายกว่า 1,600 ล้านบาท

Radius

FOLLOW ME

รับรีวอร์ดคืนสูงสุด 8%*

Lightlink Network ที่ไม่มีค่าแก๊ส

Crypto Coffee

Cryptomind Research Talk

CryptOmakase

Lightlink Network ที่ไม่มีค่าแก๊ส