Curve千萬美元損失攻擊，受波及協議與相關風險一次看！

今晨，以太坊上的去中心化交易所 Curve Finance 因重入漏洞遭攻擊，總損失超過 5,000 萬美元，其他相關的 DeFi 協議也都受到同樣嚴重的影響，甚至引起各大交易平台價格的劇烈波動，本文將詳細整理受影響協議與有關風險。

(回顧：Curve Finance重入漏洞，總損失超過4,100萬美元，CRV下跌16%)

Curve Finance 協議版本漏洞遭利用

起因

Curve Finance 的漏洞起因於「重入漏洞」，駭客透過在單筆交易中重複調用特定函數，並中斷原先多步驟的驗證流程；使之能持續執行惡意操作，藉以在流動性池中盜取超過其權限範圍的資金。

該漏洞能透過「重入鎖 (reentrancy lock)」阻擋，並防止合約在同一時間多次執行特定函數。

然而，Vyper 程式語言的部分版本並沒有正確觸發該保護機制。據 Vyper 報告，其 0.2.15、0.2.16 和 0.3.0 版本存在此漏洞。

此前，以太坊 zkSync 上的借貸協議 EraLend 也是受到類似的重入攻擊 (Read-only Reentrancy Attack)，可推測有心人士在該事件後，於各大協議發現相似的漏洞，因而先後發動攻擊。

漏洞先前已被意外修復

另外，據鏈上安全研究員 Chaofan Shou 聲稱，該漏洞早在 2021 年的 Vyper 0.3.1 版本就已經被意外修復。

目前仍未確定 Vyper 官方是否知悉此事，但能知道的是，該嚴重漏洞並沒有被明確警示或標記出來。

什麼是 Vyper？

Vyper 是一種支援 Python 的以太坊相容智能合約語言，專為以太坊虛擬機 ( EVM ) 設計。該編程語言因其相對 Solidity 而言，對開發者較為友善，被認為是 Web3 中使用最廣泛的語言之一，可見其影響甚大。

受影響協議與衍伸風險

各協議損失

目前受到影響的協議，經統計如下：

• Curve：CRV-ETH 池，2,410 萬美元損失
• Alchemix：alETH-ETH 池，2,061 萬美元損失
• Metronome：sETH-ETH 池，1,140 萬美元損失
• JPEGd：pETH-ETH 池， 162 萬美元損失

據鏈上數據觀察員 Tay 整理，部分資金已透過多名白帽駭客陸續返還。

相關風險

資安公司 Ancilia 稱，當前有 98 個智能合約是透過 Vyper 0.2.16 版本編寫，另有 226 個合約使用 Vyper 0.3.0，代表仍有許多未升級版本的協議存在風險。協議審計公司 BlockSec 也警告，該漏洞可能讓所有與 wETH 有關的流動性池暴露在危險中。

另外，Curve 創辦人 Mich Will 當前則存在四筆鉅額借貸，其中以在 Aave 協議上的 6,500 萬美元為最大債倉，$CRV 清算價格在 $0.37 至 0.4 之間。

多起模仿攻擊持續發生

值得一提的是，BNB 智能鏈 (BSC) 的部分穩定幣池也受到一系列類似的 Vyper 漏洞模仿攻擊，也就是其他駭客將同樣的攻擊方式應用在其他目標上。

據 BlockSec 數據顯示，攻擊者藉此盜取了 7.38 萬美元的加密貨幣，相關攻擊將可能持續發生。