Curve Finance 矿池因可重入漏洞而被利用超过 4700 万美元
Curve Finance 上使用 Vyper 的多个稳定矿池于 7 月 30 日遭到利用,损失超过 4700 万美元。据 Vyper 称,其 0.2.15、0.2.16 和 0.3.0 版本容易受到重入锁故障的影响。
Vyper 在 X 上写道:“调查正在进行中,但任何依赖这些版本的项目都应立即联系我们。”根据安全公司 Ancilia 对受影响合约的分析,136 份合约使用了带有重入保护的 Vyper 0.2.15,98 份合约使用了 Vyper 0.2.15 版本。使用 Vyper 0.2.16 和 226 个合约使用 Vyper 0.3.0。
根据初步调查,某些版本的 Vyper 编译器没有正确实现重入保护,该保护通过锁定合约来防止多个函数同时执行。重入攻击可能会耗尽合约中的所有资金。
Vyper 是一种面向合约的 Python 编程语言,针对以太坊虚拟机 (EVM)。Vyper 与 Python 的相似之处使得该语言成为 Python 开发人员进入 Web3 的起点之一。
许多去中心化金融项目受到此次攻击的影响。去中心化交易所 Ellipsis报告称,少量 BNB 稳定矿池被旧版 Vyper 编译器利用。Alchemix 的 alETH-ETH 也出现了 1360 万美元的流出,JPEGd 的 pETH-ETH 池中的 1140 万美元被利用,Metronome 的 sETH-ETH 池中的 160 万美元被利用。Curve Finance 首席执行官 Michael Egorov 随后 在 Telegram 频道证实,价值超过 2200 万美元的 3200 万枚 CRV 代币已从互换池中耗尽。
该漏洞引发了整个 DeFi 生态系统的恐慌,引发了一波跨池交易和白帽子的救援行动。CoinMarketCap 的数据显示, Curve Finance 的实用代币 Curve DAO (CRV) 受此消息影响下跌超过 5%。据 Cointelegraph报道,近几个月 CRV 的流动性大幅下降,使其容易受到价格剧烈波动的影响。据 Curve Finance 称,crvUSD 合约以及任何包含该合约的资金池均未受到此次攻击的影响。
Curve DAO 代币王子,2023 年 7 月 30 日。资料来源:CoinMarketCap。
过去几个月, DeFi 协议已成为多次攻击的目标。根据 Web3 投资组合应用 De.Fi 的一份报告,仅 2023 年第二季度,就有超过 2.04 亿美元通过 DeFi 黑客和诈骗被骗走。
Scan QR code with WeChat