Curve Finance 矿池因可重入漏洞而被利用超过 4700 万美元

Curve Finance 上使用 Vyper 的多个稳定矿池于 7 月 30 日遭到利用，损失超过 4700 万美元。据 Vyper 称，其 0.2.15、0.2.16 和 0.3.0 版本容易受到重入锁故障的影响。 

Vyper 在 X 上写道：“调查正在进行中，但任何依赖这些版本的项目都应立即联系我们。”根据安全公司 Ancilia 对受影响合约的分析，136 份合约使用了带有重入保护的 Vyper 0.2.15，98 份合约使用了 Vyper 0.2.15 版本。使用 Vyper 0.2.16 和 226 个合约使用 Vyper 0.3.0。

根据初步调查，某些版本的 Vyper 编译器没有正确实现重入保护，该保护通过锁定合约来防止多个函数同时执行。重入攻击可能会耗尽合约中的所有资金。

Vyper 是一种面向合约的 Python 编程语言，针对以太坊虚拟机 (EVM)。Vyper 与 Python 的相似之处使得该语言成为 Python 开发人员进入 Web3 的起点之一。 

许多去中心化金融项目受到此次攻击的影响。去中心化交易所 Ellipsis报告称，少量 BNB 稳定矿池被旧版 Vyper 编译器利用。Alchemix 的 alETH-ETH 也出现了 1360 万美元的流出，JPEGd 的 pETH-ETH 池中的 1140 万美元被利用，Metronome 的 sETH-ETH 池中的 160 万美元被利用。Curve Finance 首席执行官 Michael Egorov 随后 在 Telegram 频道证实，价值超过 2200 万美元的 3200 万枚 CRV 代币已从互换池中耗尽。

该漏洞引发了整个 DeFi 生态系统的恐慌，引发了一波跨池交易和白帽子的救援行动。CoinMarketCap 的数据显示， Curve Finance 的实用代币 Curve DAO (CRV) 受此消息影响下跌超过 5%。据 Cointelegraph报道，近几个月 CRV 的流动性大幅下降，使其容易受到价格剧烈波动的影响。据 Curve Finance 称，crvUSD 合约以及任何包含该合约的资金池均未受到此次攻击的影响。

Curve DAO 代币王子，2023 年 7 月 30 日。资料来源：CoinMarketCap。

过去几个月， DeFi 协议已成为多次攻击的目标。根据 Web3 投资组合应用 De.Fi 的一份报告，仅 2023 年第二季度，就有超过 2.04 亿美元通过 DeFi 黑客和诈骗被骗走。