تعدادی از استخرهایی که از Vyper استفاده میکنند به دلیل عملکرد نادرست قفل ورود مجدد مورد سوء استفاده قرار گرفتهاند که به طور بالقوه همه استخرها را با اتر پیچیده (wETH) در معرض دید قرار میدهد.
پروتکلهای مالی غیرمتمرکز (DeFi) تحت یک تست استرس قرار میگیرند که آسیبپذیری مهمی در نسخههای زبان برنامهنویسی Vyper پیدا شد که منجر به سرقت میلیونها دلار ارزهای دیجیتال در ۳۰ جولای شد.
تعدادی از استخرهایی که از Vyper 0.2.15، ۰.۲.۱۶ و ۰.۳.۰ استفاده می کنند به دلیل عملکرد نادرست قفل ورود مجدد مورد سوء استفاده قرار گرفته اند و حداقل چهار استخر نقدینگی را در پروتکل Curve Finance هدف قرار داده اند.
پاسخ کوتاه این است که هر چیزی که میتوانست تخلیه شود، تخلیه شده است.
Curve Finance در Discord گفت: «استخرهای هدف عبارتند از aETH/ETH، msETH/ETH، pETH/ETH و CRV/ETH. همه استخرهای باقیمانده ایمن هستند و تحت تأثیر این باگ قرار نگرفته اند.»
BlockSec، یک شرکت حسابرسی برای قراردادهای هوشمند، خاطرنشان کرد که ورود مجدد می تواند به طور بالقوه همه استخرهای دارای اتر پیچیده (WETH) را در معرض خطر حمله قرار دهد.
Vyper یک زبان برنامه نویسی قراردادی است که برای ماشین مجازی اتریوم (EVM) طراحی شده است . این یکی از پرکاربردترین زبان های برنامه نویسی Web3 در نظر گرفته می شود، به این معنی که اشکال در سه نسخه آن می تواند بر چندین پروتکل دیگر تأثیر بگذارد.
این حمله بر تعدادی از پروژههای مالی غیرمتمرکز تأثیر میگذارد، بهطوریکه Alchemix’s alETH-ETH خروجی ۱۳.۶ میلیون دلاری را گزارش میکند، استخر pETH-ETH PEGd با ۱۱.۴ میلیون دلار تخلیه شده است، استخر seETH-ETH Metronome با ۱.۶ میلیون دلار هک شده است (Carve) و توکن هایی به ارزش بیش از ۲۲ میلیون دلار در چند ساعت گذشته تخلیه شده اند.
صرافی غیرمتمرکز Ellipsis همچنین گزارش داد که تعداد کمی از استخرهای پایدار با BNB با استفاده از یک کامپایلر قدیمی Vyper مورد سوء استفاده قرار گرفتند.
این رویداد همچنین بر قیمت CRV تأثیر منفی گذاشت که در زمان نوشتن این مقاله بیش از ۱۲ درصد کاهش یافت و به ۰.۶۴ دلار رسید.
اعضای انجمن همچنین به یک اثر موج دار بالقوه روی پروتکل Aave اشاره کردند ، زیرا کاهش قیمت CRV می تواند مایکل اگوروف، بنیانگذار Curve را مجبور کند تا موقعیت وام ۷۰ میلیون دلاری Aave را منحل کند.