黑客瞄準了Vyper 編程語言中的漏洞,Vyper 編程語言是一種廣泛用於開發針對以太坊虛擬機(EVM) 的Web3項目的知名工具,該語言針對兩個重要的DeFi 協議:BNB 智能鍊和Curve Finance。
Vyper 因其與Python 的相似性而聞名,這使其成為Python 開發人員涉足DeFi 的共同起點。這些攻擊利用了Vyper 0.2.15、0.2.16 和0.3.0 版本的可重入鎖中的缺陷,導致不同協議中的多個漏洞。
多個平台的損失都很嚴重。據報導,7 月30 日,BNB 智能鏈(BSC)因特定版本Vyper(0.2.15、0.2.16、0.3.0)中發現的重入鎖漏洞而遭受多起攻擊。區塊鏈安全公司BlockSec 報導稱這些攻擊導致價值約4100 萬美元的加密貨幣被盜。
該表已更新。損失已達約4100 萬美元https://t.co/lCaS4uEPzm https://t.co/stQYNJFS7y pic.twitter.com/P7jG8NHnV4
— BlockSec (@BlockSecTeam) 2023 年7 月30 日
DeFi 協議Curve Finance 在同一天遭受的損失更大。其多個使用受影響的Vyper 版本的穩定礦池遭到利用,損失超過4700 萬美元。 Curve 在Twitter 上證實,共有3200 萬枚CRV 代幣從互換礦池中被耗盡,價值超過2200 萬美元。
有人從交易所礦池中抽走了3200 萬美元CRV,0x8301ae4fc9c624d1d396cbdaa1ed877821d7c511 pic.twitter.com/zQYivclTqO
— Andrew T (@Blockanalia) 2023 年7 月30 日
可重入鎖是一個關鍵組件,應防止多個函數同時執行。如果實施得當,這個守衛將會挫敗攻擊者。但就Vyper 版本而言,重入防護沒有正確實現,導致許多DeFi 礦池容易受到攻擊。
其他幾個DeFi項目也報告了損失,例如Ellipsis,該項目報告BNB 穩定礦池中的損失金額不詳。
少量使用舊Vyper 編譯器的BNB 穩定礦池已被利用。
我們正在評估情況,並將向社區通報任何進一步的調查結果。 https://t.co/pxkhRRSr5w
– Ellipsis (@Ellipsisfi) 2023 年7 月30 日
資訊來源:由0x資訊編譯自CRYPTOBRIEFING。版權歸原作者所有,未經許可,不得轉載