今晨，以太坊上的去中心化交易所Curve Finance 因重入漏洞遭攻击，总损失超过5,000 万美元，其他相关的DeFi 协议也都受到同样严重的影响，甚至引起各大交易平台价格的剧烈波动，本文将详细整理受影响协议与有关风险。

Curve Finance 协议版本漏洞遭利用

起因

Curve Finance 的漏洞起因于「重入漏洞」，骇客透过在单笔交易中重复调用特定函数，并中断原先多步骤的验证流程；使之能持续执行恶意操作，借以在流动性池中盗取超过其权限范围的资金。

该漏洞能透过「重入锁(reentrancy lock)」阻挡，并防止合约在同一时间多次执行特定函数。

然而，Vyper 程式语言的部分版本并没有正确触发该保护机制。据Vyper报告，其0.2.15、0.2.16 和0.3.0 版本存在此漏洞。

此前，以太坊zkSync 上的借贷协议EraLend也是受到类似的重入攻击 (Read-only Reentrancy Attack)，可推测有心人士在该事件后，于各大协议发现相似的漏洞，因而先后发动攻击。

漏洞先前已被意外修复

另外，据链上安全研究员Chaofan Shou声称，该漏洞早在2021 年的Vyper 0.3.1 版本就已经被意外修复。

目前仍未确定Vyper 官方是否知悉此事，但能知道的是，该严重漏洞并没有被明确警示或标记出来。

什么是Vyper？

Vyper 是一种支援Python 的以太坊相容智能合约语言，专为以太坊虚拟机( EVM ) 设计。该编程语言因其相对Solidity 而言，对开发者较为友善，被认为是Web3 中使用最广泛的语言之一，可见其影响甚大。

受影响协议与衍伸风险

各协议损失

目前受到影响的协议，经统计如下：

• Curve：CRV-ETH 池，2,410 万美元损失
• Alchemix：alETH-ETH 池，2,061 万美元损失
• Metronome：sETH-ETH 池，1,140 万美元损失
• JPEGd：pETH-ETH 池， 162 万美元损失

据链上数据观察员Tay 整理，部分资金已透过多名白帽骇客陆续返还。

相关风险

资安公司Ancilia称，当前有98 个智能合约是透过Vyper 0.2.16 版本编写，另有226 个合约使用Vyper 0.3.0，代表仍有许多未升级版本的协议存在风险。协议审计公司BlockSec 也警告，该漏洞可能让所有与wETH 有关的流动性池暴露在危险中。

另外，Curve 创办人Mich Will 当前则存在四笔巨额借贷，其中以在Aave 协议上的6,500 万美元为最大债仓，$CRV 清算价格在$0.37 至0.4 之间。

多起模仿攻击持续发生

值得一提的是，BNB 智能链(BSC) 的部分稳定币池也受到一系列类似的Vyper 漏洞模仿攻击，也就是其他骇客将同样的攻击方式应用在其他目标上。

据BlockSec数据显示，攻击者借此盗取了7.38 万美元的加密货币，相关攻击将可能持续发生。

本文链接地址：https://www.wwsww.cn/DeFi/20464.html
郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。