Protokol DeFi Terkena Pencurian Kripto Senilai $24 Juta Karena Kerentanan Vyper

Beberapa protokol keuangan terdesentralisasi mengalami pukulan yang tidak terduga ketika penyerang mengeksploitasi kerentanan Vyper, yang mengakibatkan pencurian mata uang kripto senilai lebih dari $24 juta pada hari Minggu.

Beberapa proyek keuangan terdesentralisasi menghadapi kerugian yang signifikan ketika penyerang memanfaatkan kerentanan dalam kumpulan likuiditas di Curve, sebuah platform pembuat pasar otomatis terkemuka.

Kerentanan ini terkait dengan Vyper, sebuah bahasa pemrograman pihak ketiga untuk kontrak pintar Ethereum. Kurvadikonfirmasi melalui Twitter bahwa pool likuiditas yang tidak menggunakan bahasa ini tetap tidak terpengaruh.

Kumpulan likuiditas, yang merupakan kontrak pintar yang menyimpan token dan menyediakan likuiditas ke pasar kripto tanpa perlu perantara, terbukti rentan terhadap serangan. Cacat kecil pada pool ini mengakibatkan kerugian besar.

Jutaan Kurva DAO (CRV ) dan sekitar $14 juta dalam bentuk wrapped ether (WETH) dicuri dari pool CRV/ETH di Curve Finance. Misi penyelamatan topi putih berusaha untuk melindungi dana tersebut tetapi tidak dapat mencegah pencurian tersebut.

Beberapa bursa, terutama Upbit, telah mengumumkan bahwakarena serangan tersebut volatilitas CRV tinggi. Akibatnya, layanan deposit dan penarikan Curve (CRV) untuk sementara ditangguhkan.

Curve Finance mengalami kerentanan yang mempengaruhi beberapa pool karena bug dalam versi bahasa pemrograman Vyper sebelumnya.

Sebelum kejadian ini, token senilai $26 juta telah ditransfer dari berbagai pool pabrik Curve, yang memengaruhi proyek-proyek seperti JPEG & # 39; d, Metronome, dan Alchemix. Total arus keluar aset yang terkait dengan pelanggaran keamanan ini mencapai $41 juta.

Terlepas dari kerugian tersebut, Curve & # 39; s Discord mengumumkan bahwa semua pool yang terkena dampak telah dieksploitasi atau diselamatkan oleh peretas topi putih, meyakinkan pengguna tentang keamanan pool yang tersisa.

Curve awalnya menggambarkan kerentanan tersebut sebagai serangan "re-entry", tetapi kemudian mengklarifikasi bahwa kesan awalnya tidak benar. Serangan re-entry memungkinkan penyerang untuk mengeksploitasi smart contract dan memanipulasi perhitungan saldo.

Vyper,di Twitter mengaitkan masalah ini dengan kompilernya, yang gagal mengompilasi kode yang ditulis oleh pengembang dengan benar, sehingga mencegah penjaga pintu masuk kembali bekerja sebagaimana mestinya.


UPDATE: PeckShield memilikimelaporkan bahwa peretas telah mengembalikan 2.879 ETH senilai sekitar $ 5,4 juta kepadaalamat penyebar protokol .