DeFiプロトコル、Vyperの脆弱性により2400万ドルの暗号窃盗に遭う

攻撃者がVyperの脆弱性を悪用したため、複数の分散型金融プロトコルが予期せぬ打撃を受け、日曜日には2400万ドル相当の暗号通貨が盗まれた。

著名な自動マーケットメーカーのプラットフォームであるCurveの流動性プール内の脆弱性を利用した攻撃により、いくつかの分散型金融プロジェクトが大きな損失に直面した。

この脆弱性は、イーサリアムのスマートコントラクト用のサードパーティ製プログラミング言語であるVyperに関連していた。カーブツイッターで確認 この文言を利用していない流動性プールは影響を受けなかった。

トークンを保有し、仲介者を介さずに暗号市場に流動性を提供するスマートコントラクトである流動性プールは、攻撃を受けやすいことが判明した。これらのプールの些細な欠陥が多額の損失をもたらした。

カーブDAO (CRV )トークンと約1400万ドルのラップエーテル(WETH)がCurve FinanceのCRV/ETHプールから盗まれた。ホワイトハットによる救出作戦が資金を保護しようと試みたが、盗難を防ぐことはできなかった。

Upbitをはじめとするいくつかの取引所は、次のように発表している。攻撃により CRVのボラティリティが高くなっています。そのため、カーブ（CRV）の入出金サービスは一時的に停止しています。

Curve Financeは、Vyperプログラミング言語の旧バージョンのバグが原因で、複数のプールに影響を及ぼす脆弱性に見舞われた。

この事件の前に、2,600万ドル相当のトークンが様々なCurveファクトリープールから送金され、JPEG&x#27;d、Metronome、Alchemixなどのプロジェクトに影響を与えた。これらのセキュリティ侵害に関連した資産の流出総額は4100万ドルを超えた。

この損失にもかかわらず、Curve'のDiscordは、影響を受けたすべてのプールが悪用されたか、ホワイトハットハッカーによって保存されたことを発表し、残りのプールの安全性についてユーザーを安心させた。

Curveは当初、この脆弱性をリエントランシー攻撃と説明していたが、後に当初の印象が誤っていたことを明らかにした。リエントランシー攻撃は、攻撃者がスマートコントラクトを悪用し、残高計算を操作することを可能にする。

ヴァイパーツイッターで この問題は、コンパイラが開発者の書いたコードを正しくコンパイルできず、再入場ガードが意図したとおりに機能しなかったことに起因する。


UPDATE： ペックシールドは報告済み このハッカーは、約540万ドル相当の2,879ETHを返還したという。プロトコル展開アドレス .