Những điểm chính:
- Giám đốc điều hành Binance đảm bảo với người dùng rằng Binance không bị ảnh hưởng bởi các cuộc tấn công DeFi gần đây.
- Số tiền điện tử trị giá hàng triệu đô la đã bị đánh cắp thông qua lỗi truy cập lại Vyper trong nhóm thanh khoản của Curve Finance.
- Các phiên bản Vyper 0.2.15, 0.2.16 và 0.3.0 dễ bị tổn thương đã được xác định, thúc giục hành động ngay lập tức từ các dự án bị ảnh hưởng.
Trước các cuộc tấn công gần đây vào các giao thức tài chính phi tập trung (DeFi), Giám đốc điều hành Binance, Changpeng Zhao, đã lên mạng xã hội để trấn an người dùng Binance rằng tiền của họ được bảo mật và sẽ không bị ảnh hưởng bởi các vấn đề bảo mật đang diễn ra.
Các cuộc tấn công nhắm vào nhóm thanh khoản trên Curve , một nền tảng tạo thị trường tự động phổ biến, dẫn đến việc đánh cắp tiền điện tử trị giá hàng triệu đô la. Những kẻ tấn công đã khai thác một lỗ hổng trong Vyper, một ngôn ngữ lập trình thay thế cho các hợp đồng thông minh Ethereum, theo tiết lộ của Curve trên Twitter.
Tuy nhiên, nhóm Binance đã xác nhận rằng chỉ các phiên bản 0.3.7 trở lên của Vyper mới được sử dụng trên nền tảng của họ, đảm bảo bảo vệ người dùng của họ.
Lỗ hổng được đề cập là lỗi “vào lại” trong Vyper, ảnh hưởng đến các phần của hệ thống Curve. Lỗi này cho phép những kẻ tấn công rút tiền từ một số nhóm stablecoin trên Curve Finance, dẫn đến thiệt hại đáng kể đã vượt quá 50 triệu đô la. Hơn nữa, Ancilia, một công ty bảo mật, đã tiến hành phân tích và xác định các hợp đồng bị ảnh hưởng. Họ phát hiện ra rằng 136 hợp đồng đã sử dụng Vyper 0.2.15 với tính năng bảo vệ người đăng ký lại, 98 hợp đồng sử dụng Vyper 0.2.16 và 226 hợp đồng sử dụng Vyper 0.3.0, tất cả đều dễ bị tấn công.
Theo cuộc điều tra, một số phiên bản nhất định của trình biên dịch Vyper đã không triển khai đúng cách bảo vệ truy cập lại, một cơ chế quan trọng để ngăn chặn nhiều chức năng được thực thi đồng thời trong một hợp đồng. Sự giám sát này đã kích hoạt các cuộc tấn công vào lại, trong đó tin tặc có khả năng rút hết tiền từ các hợp đồng được nhắm mục tiêu.
Vyper , một ngôn ngữ lập trình hướng hợp đồng và Pythonic, được sử dụng để nhắm mục tiêu Máy ảo Ethereum (EVM). Sự tương đồng của nó với Python đã khiến nó trở thành một lựa chọn hấp dẫn đối với các nhà phát triển đang chuyển sang môi trường Web3.
Một số dự án DeFi ngoài Curve Finance cũng bị ảnh hưởng bởi các cuộc tấn công. Ellipsis, một sàn giao dịch phi tập trung, đã báo cáo rằng một số lượng hạn chế các nhóm ổn định sử dụng BNB đã bị khai thác do phiên bản trình biên dịch Vyper cũ hơn.
Để đối phó với vi phạm bảo mật, Vyper khuyên tất cả các dự án dựa trên các phiên bản dễ bị tổn thương (0.2.15, 0.2.16 và 0.3.0) liên hệ với họ ngay lập tức. Trong khi đó, cuộc điều tra về các cuộc tấn công vẫn tiếp tục và cộng đồng DeFi vẫn cảnh giác để bảo vệ chống lại việc khai thác thêm.
Khi không gian DeFi phát triển, việc duy trì cơ sở mã, ứng dụng và hệ điều hành cập nhật trở thành điều tối quan trọng để đảm bảo tính bảo mật cho tiền của người dùng và sự ổn định tổng thể của các giao thức tài chính phi tập trung.
