Curve Finance 上使用Vyper 的多個穩定礦池於7 月30 日遭到利用,截至本文撰寫時,損失達到2400 萬美元。據Vyper 稱,其0.2.15、0.2.16 和0.3.0 版本容易受到重入鎖故障的影響。
Vyper 在X 上寫道:“調查正在進行中,但任何依賴這些版本的項目都應立即聯繫我們。”根據安全公司Ancilia 對受影響合約的分析,136 份合約使用了帶有重入保護的Vyper 0.2.15,98 份合約使用了Vyper 0.2.15 版本。使用Vyper 0.2.16 和226 個合約使用Vyper 0.3.0。
由於重入鎖故障,許多使用Vyper 0.2.15 的穩定礦池(alETH/msETH/pETH) 已被利用。我們正在評估情況,並將隨著事態的發展向社區通報最新情況。
其他泳池都是安全的。 https://t.co/eWy2d3cDDj
— Curve Finance (@CurveFinance) 2023 年7 月30 日
根據初步調查,某些版本的Vyper 編譯器沒有正確實現重入保護,該保護通過鎖定合約來防止多個函數同時執行。重入攻擊可能會耗盡合約中的所有資金。
許多去中心化金融項目受到此次攻擊的影響。去中心化交易所Ellipsis 報告稱,少量BNB 穩定礦池被舊版Vyper 編譯器利用。 Alchemix 的alETH-ETH 也出現了1360 萬美元的流出,JPEGd 的pETH-ETH 礦池中的1140 萬美元被利用,Metronome 的sETH-ETH 礦池中的160 萬美元被利用。
某些類型的Curve 工廠礦池遭遇只讀重入攻擊,造成總損失1100 萬美元(@JPEGd_69) + 1300 萬美元(@AlchemixFi) + …
初步調查發現vyper 編譯器(0.2.15) 沒有正確實現重入防護。
add_liquidity 和… pic.twitter.com/avaHdtSFsm
— 托尼·KΞ (@tonyke_bot) 2023 年7 月30 日
該漏洞引發了整個DeFi 生態系統的恐慌,引發了一波跨礦池交易和白帽子的救援行動。 CoinMarketCap 的數據顯示,Curve Finance 的實用代幣Curve DAO (CRV) 受此消息影響下跌超過5%。據Cointelegraph 報導,近幾個月CRV 的流動性大幅下跌,使其容易受到價格劇烈波動的影響。據Curve Finance 稱,crvUSD 合約以及任何包含該合約的資金礦池均未受到此次攻擊的影響。
Curve DAO 代幣王子,2023 年7 月30 日。資料來源:CoinMarketCap。
Curve Finance 是一種DeFi 協議,可在以太坊內實現穩定幣的去中心化交易(DEX)。該協議已成為其生態系統內一系列事件的目標。就在幾天前,其全礦池平台Conic Finance 被盜取了326 萬美元的以太坊(ETH),僅在一筆交易中,幾乎全部被盜金額都發送到了新的以太坊地址。
雜誌:加密貨幣項目是否應該與黑客談判?大概
資訊來源:由0x資訊編譯自COINTELEGRAPH。版權歸作者Ana Paula Pereira所有,未經許可,不得轉載