BNB Smart Chain bị tấn công tương tự Vyper, thiệt hại 73k đô la

BNB Smart Chain (BSC) đã phải hứng chịu các cuộc tấn công copycat do lỗ hổng trong ngôn ngữ lập trình Vyper, tương tự như cách khai thác trên giao thức tài chính phi tập trung (DeFi) Curve Finance.

Công ty bảo mật Blockchain BlockSec đã tweet vào ngày 30 tháng 7 rằng khoảng 73.000 đô la tiền điện tử trên BNB Smart Chain qua ba lần khai thác cũng đã bị đánh cắp. Các khai thác tương tự nhắm mục tiêu vào các pool thanh khoản trên Curve Finance đã gây ra khoản lỗ hơn 41 triệu đô la, theo ước tính hiện tại của BlockSec.

The sheet updated. Losses have already ~$41m!https://t.co/lCaS4uEPzm https://t.co/stQYNJFS7y pic.twitter.com/P7jG8NHnV4

— BlockSec (@BlockSecTeam) July 30, 2023

Lỗ hổng này là do reentrancy lock bị trục trặc trên các phiên bản Vyper 0.2.15, 0.2.16 và 0.3.0, được sử dụng bởi một số pool DeFi.

Vyper được cho là một trong những ngôn ngữ được sử dụng rộng rãi nhất cho các dự án Web3. Nó được thiết kế cho Máy ảo Ethereum và có thể ảnh hưởng đến các giao thức khác đang sử dụng các phiên bản Vyper bị ảnh hưởng.

Kể từ khi tin tức về vụ khai thác được tung ra, các hacker mũ trắng và mũ đen đã tận dụng để cố gắng phá vỡ các nỗ lực khai thác của đôi bên hoặc nỗ lực thu hồi tiền.

Một mũ trắng gọi là “c0ffebabe.eth” vào ngày 30 tháng 7, họ đã gửi một thông báo trực tuyến yêu cầu các giao thức bị ảnh hưởng liên hệ với mình để trả lại tiền. Cho đến nay, ví đã trả lại gần 2.900 Ether trị giá hơn 5 triệu đô la cho Curve qua một giao dịch.

5M returned back to @CurveFinance pic.twitter.com/BPAvE1ZOZY

— KGJR (@KGJRTG) July 30, 2023

Một giao dịch khác cho thấy c0ffebabe.eth chuyển 1.000 ETH sang ví có vẻ như mới được tạo — có thể là ví lạnh mà họ đã đề cập trước đó.