在攻击者发现编程语言 Vyper 的旧编译器中存在漏洞后,分叉 Curve Finance 代码的多个团队现在都在报告漏洞。
Curve Finance 是一个去中心化交易所,用于稳定币与以太坊和 Wrapped Ethereum (WETH) 等加密代币之间的稳定交换。
该平台在周日被利用,估计损失 5200 万美元。
除了对 Curve 本身造成的损害,这次黑客攻击还暴露了更广泛的 DeFi 生态系统中的一个关键漏洞,特别是影响了使用某些版本的编程语言 Vyper 构建的智能合约。
OpenZeppelin 的解决方案架构主管迈克尔-利韦兰(Michael Lewellan)告诉 TCN,鉴于 Vyper 在各种加密项目中的广泛使用,这已经产生了连锁反应–尽管比 Solidity 少得多。
根据 Vyper 团队发布的一条推文,使用 Vyper 0.2.15、0.2.16 和 0.3.0 版本开发的合约目前 “容易受到重入锁故障的影响”。
PSA:Vyper 0.2.15、0.2.16 和 0.3.0 版本易受重入锁故障影响。调查仍在进行中,但任何依赖这些版本的项目应立即联系我们。
– Vyper (@vyperlang) 2023年7月30日
该团队强烈敦促其他基于 Vyper 的 dApp 开发人员 “立即解决 “这一问题。”Open Zeppelin 的解决方案开发人员古斯塔沃-冈萨雷斯(Gustavo Gonzales)告诉 TCN:”这不是协议或 dapps 代码中的问题,而是 Vyper 本身的问题–Vyper 是一种少数民族 EVM 语言,但已经存在了很长时间。
Vyper 的化名开发者 señor doggo 怀疑 “国家支持的黑客 “参与了这次黑客攻击,并利用 Curve 智能合约暴露了漏洞。
独立安全研究人员 Officer’s Notes 告诉 TCN,Vyper 智能合约 “在满足两个条件的情况下可能存在漏洞”。
首先,合约是使用 Vyper 0.2.15 版本构建的。其次,是代码中没有实施适当的流动性添加和移除保障措施。
某类曲线工厂池遭遇只读重入攻击,造成总损失1100万美元(@JPEGd_69) + 1300万美元(@AlchemixFi) + …
初步调查发现 vyper 编译器 (0.2.15) 没有正确执行重入保护。
add_liquidity 和…pic.twitter.com/avaHdtSFsm
– Tony KΞ (@tonyke_bot) 2023年7月30日
。
另一个可能加速了漏洞破坏的问题是,在漏洞得到缓解之前,该漏洞的细节就被发布到了 Twitter 上。
Lewellan 告诉 TCN:”这导致了一些反弹,因为这些信息有可能被用于进一步的攻击。”ETH安全社区担心,漏洞的传播需要更加谨慎。
曲线分叉报告漏洞
其他链上的Curve协议分叉也出现了类似的漏洞报告。
根据 DeFiLlama 的数据,Ellipsis Finance 是一个经授权的曲线分叉,其存款总额为 650 万美元,该公司今早发布推文称,”少量带有 BNB 的稳定池 “被利用。
少量使用旧版 Vyper 编译器的 BNB 稳定池遭到攻击。
我们正在评估这一情况,并将向社区通报进一步的发现。https://t.co/pxkhRRSr5w
– Ellipsis (@Ellipsisfi) 2023年7月30日
。
Curve Finance 团队还表示,Curve 部署在二层解决方案 Arbitrum 上的由 USDT、WBTC 和 ETH 组成的 Tricrypto 池也 “可能受到影响”,但尚未被利用。
Auxo DAO是一个去中心化收益养殖基金,其存款总价值为540万美元,它决定从Curve和Convex Finance池中移除流动性,以 “降低传染风险”。
为降低传染风险,所有头寸已迅速从曲线/凸轮中移除,直至另行通知。
@AlchemixFi alETH/ETH 池的资金敞口为 429.6 ETH。我们正在监测情况,很快会有更多信息。https://t.co/wewmvWavwM
– Auxo (@AuxoDAO) 2023年7月30日
。
Convex Finance是一款DeFi应用,为Curve的CRV代币提供收益优化策略,根据DefiLlama的数据,其存款总价值为13.82亿美元。自昨天 Curve 遭到攻击后,其流动性从 29.1 亿美元骤降了 52.5%。
根据 Dune dashboard 的数据,它拥有 2.983 亿 CRV 代币,占 CRV 流通供应量的三分之一。