Vyper語言部分版本存在漏洞，Curve等項目受到攻擊

2023-07-31 16:07:44

北京時間 7 月 30 日，智能合約編程語言 Vyper 的部分版本被發現存在嚴重漏洞，一些包括 Curve Finance 在內的重要項目因此遭受了攻擊。

根據以太坊智能合約編程語言 Vyper 的 Twitter 公告顯示，其三個版本—— 0.2.15、 0.2.16 和 0.3.0 存在嚴重的漏洞問題，它們的重入鎖功能可能會失效。對於區塊鏈項目來說，這一問題可能會導致合約的執行流程被打斷或者產生不可預期的結果，從而影響整個系統的穩定性。Vyper 團隊在公告中強烈建議，所有使用了這些受影響版本的項目應立即與他們取得聯系，以獲取及時的技術支持和解決方案。

但是，本次漏洞的影響已經發生了。Curve 團隊緊接着在一分鐘之後發推說，一些使用了 Vyper 0.2.15 版本的穩定池，包括 alETH、msETH 以及 pETH，因為重入鎖功能的失效，已經遭受了網絡攻擊。這一漏洞允許攻擊者在單次交易中多次執行某些功能，可能對相關區塊鏈項目造成重大損失。

Curve 團隊同時承諾，其他池子是安全的，本次漏洞在之前的开發過程中從來沒有被注意到，直到今天。Curve 的代幣也同時暴跌，日內跌幅達到 15.45% 。

！

Curve 的推特聲明。

數個項目受到了影響。根據鏈上數據監測方 Supremacy Alert 顯示，NFT 質押協議 JPEG ’d 受到了該重入漏洞的影響，目前被盜的資產達到了 1000 萬美元左右。緊接着，另兩個鏈上安全账號派盾和 Hexagate 也發推@了 JPEG‘d 項目方，聲稱該交易為黑客交易。這一事件導致 JPEG‘d 的代幣價值跳水，從穩定在 0.00062 左右跌至 0.0003 ，現回升至 0.00049 ，單日跌幅達到 21.63% 。

JPEG'd 代幣價格。來源：Coinmarketcap

JPEG‘d 項目方在 Curve 發布之後也做出了回應，聲稱“我們的協議不在此次黑客事件的範圍當中，我們的开發者很厲害”。

除此之外，還有兩個項目方也受到了影響：根據 Hexagate 的消息，借貸項目 AlchemixFi 和 DeFi 協議 MetronomeDAO 也受到了攻擊，攻擊者共獲取了 1300 萬美元和 160 萬美元的利潤。兩個項目均在第一時間發表了聲明， Alchemix 聲稱已經注意到該黑客事件，此事件可能導致項目代幣價格不穩定，且建議 LP 盡快從該池子中撤出流動性。

MetronomeDAO 則表示，“任何在 msUSD 對上提供流動性的提供者，以及在 Velodrome 上與 msETH 交互的 Optimism 用戶，都應注意他們的頭寸沒有受到影響。此外，所有的 Metronome 存款和未結頭寸並未受到此次事件的影響。”