About Teletype
Join
𝐕𝐢𝐞𝐦
@viemcrypto
October 6, 2023

Vyper Attack Method [2023]

Рад приветствовать читателей данного топика и сегодня речь пойдет о аттаке Vyper, которая стала популярной буквально в этом году, буквально в июле 2023 года злоумышленники использовали ошибку в языке программирования Vyper. Это позволило им воспользоваться услугами компании Curve Finance и похитить примерно 70 млн. долл. из различных проектов, включая Alchemix, JPEG'D и Metronome. Однако благодаря усилиям хакеров, использующих эту уязвимость, общий ущерб был снижен примерно до 52 млн $

Об атаке

Атака на Curve Finance использовала уязвимости в компиляторе Vyper. Хотя Solidity является основным языком программирования в блокчейне Ethereum, для работы с ним были разработаны или адаптированы и другие языки программирования. Vyper - это питонический язык программирования, который может быть скомпилирован в байткод, работающий на виртуальной машине Ethereum (EVM).

Взлом Curve и других проектов в июле 2023 года использовал уязвимости в некоторых версиях компилятора Vyper, включая версии 0.2.15, 0.2.16 и 0.3.0. Эти уязвимости касались защиты от атак reentrancy attacks.

При отсутствии этих защит злоумышленники могли осуществлять атаки reentrancy на протоколы, которые считали, что они защищены от атак.

Затронутые протоколы включают:

Alchemix: Получив уведомление от Curve об угрозе, компания Alchemix попыталась извлечь стоимость из своего уязвимого пула alETH/ETH Curve. Они успешно вывели около 8 000 alETH, но злоумышленники опередили их и вывели 5 000 ETH. Другой злоумышленник воспользовался проскальзыванием в процессе вывода и обменял 5 ETH на 1200 alETH.

Curve: Пул CRV/ETH был дважды использован для получения более 18,5 млн. долл.

JPEG'd: Сначала JPEG'd был атакован неудачным эксплойтом, в результате чего транзакция была отменена, а хищения не произошло. Затем один из лидеров вывел из пула pETH/ETH протокола почти 11,5 млн. долл.

Metronome: Эксплуатация контракта msETH/WETH протокола Metronome стоила более 1,6 млн. долл.

В некоторых случаях эти атаки осуществлялись ботами MEV, и средства были возвращены. Таким образом, общая стоимость эксплойтов Vyper снизилась с первоначальных 70 млн. долл. до примерно 52 млн. долл.

Более подробно можете почитать про данную уязвимсоть тут или попросить в чате провести разбор - https://osec.io/blog/2023-08-01-vyper-timeline

October 6, 2023, 05:18
0 views
0 reactions
0 replies
0 reposts