一些使用 Vyper 的池由于重入锁故障而被利用,该故障可能会暴露所有使用wrapped Ether(WETH)的池。
Vyper 漏洞使 DeFi 生态系统面临严峻考验新闻
去中心化金融(DeFi)协议正在接受严峻的考验。7月30日,Vyper编程语言版本被发现存在一个关键漏洞,直接导致价值数百万美元的虚拟货币被盗。
由于重入锁失灵(reentrancy lock),一些使用 Vyper 0.2.15、0.2.16 和 0.3.0 的池被盯上,目标是 Curve Finance 协议上的至少四个流动性池。"简而言之,所有能被排空的都被排空了。目标池包括 aETH/ETH、msETH/ETH、pETH/ETH 和 CRV/ETH。Curve Finance 在 Discord 上说:"目前所有剩余的池都是安全的,不受漏洞影响。
智能合约审计公司 BlockSec 指出,重入性漏洞可能会使所有wrapped Ether (WETH)池都面临被攻击的风险。
Vyper 是一种专为以太坊虚拟机(EVM)设计的合约编程语言。它被认为是使用最广泛的 Web3 编程语言之一。这也意味着其三个版本中的漏洞可能会对其他几个协议也产生影响。
这次攻击给好几家Defi项目造成不同影响、Alchemix 的 alETH-ETH 报告流失了 1360 万美元,PEGd 的 pETH-ETH 池流失了 1140 万美元,Metronome 的 sETH-ETH 池被黑客攻击损失 160 万美元,价值超过 2200 万美元的 3200 万多枚 Curve DAO (CRV) 代币在过去几个小时内消失一空。去中心化交易所 Ellipsis 也报告称还有使用旧 Vyper 编译器的少量 BNB 稳定池也受牵连。
这一事件也对 CRV 的价格产生了负面影响,截至发稿时,CRV 的价格下跌超过 12%,报 0.64 美元。社区成员还注意到了 Aave 协议可能受到的连锁反应,因为 CRV 价格的下跌可能迫使 Curve 创始人迈克尔-埃格罗夫(Michael Egorov)清算在 Aave 上 7000 万美元的借款头寸。