Curve千万美元损失攻击,受波及协议与相关风险一次看!

今晨,以太坊上的去中心化交易所Curve Finance 因重入漏洞遭攻击,总损失超过5,000 万美元,其他相关的DeFi 协议也都受到同样严重的影响,甚至引起各大交易平台价格的剧烈波动,本文将详细整理受影响协议与有关风险。

Curve Finance 协议版本漏洞遭利用

起因

Curve Finance 的漏洞起因于「重入漏洞」,骇客透过在单笔交易中重复调用特定函数,并中断原先多步骤的验证流程;使之能持续执行恶意操作,借以在流动性池中盗取超过其权限范围的资金。

该漏洞能透过「重入锁(reentrancy lock)」阻挡,并防止合约在同一时间多次执行特定函数。

然而,Vyper 程式语言的部分版本并没有正确触发该保护机制。据Vyper报告,其0.2.15、0.2.16 和0.3.0 版本存在此漏洞。

此前,以太坊zkSync 上的借贷协议EraLend也是受到类似的重入攻击 (Read-only Reentrancy Attack),可推测有心人士在该事件后,于各大协议发现相似的漏洞,因而先后发动攻击。

漏洞先前已被意外修复

另外,据链上安全研究员Chaofan Shou声称,该漏洞早在2021 年的Vyper 0.3.1 版本就已经被意外修复。

目前仍未确定Vyper 官方是否知悉此事,但能知道的是,该严重漏洞并没有被明确警示或标记出来。

什么是Vyper?

Vyper 是一种支援Python 的以太坊相容智能合约语言,专为以太坊虚拟机( EVM ) 设计。该编程语言因其相对Solidity 而言,对开发者较为友善,被认为是Web3 中使用最广泛的语言之一,可见其影响甚大。

受影响协议与衍伸风险

各协议损失

目前受到影响的协议,经统计如下:

  • Curve:CRV-ETH 池,2,410 万美元损失
  • Alchemix:alETH-ETH 池,2,061 万美元损失
  • Metronome:sETH-ETH 池,1,140 万美元损失
  • JPEGd:pETH-ETH 池, 162 万美元损失

据链上数据观察员Tay 整理,部分资金已透过多名白帽骇客陆续返还。

相关风险

资安公司Ancilia称,当前有98 个智能合约是透过Vyper 0.2.16 版本编写,另有226 个合约使用Vyper 0.3.0,代表仍有许多未升级版本的协议存在风险。协议审计公司BlockSec 也警告,该漏洞可能让所有与wETH 有关的流动性池暴露在危险中。

另外,Curve 创办人Mich Will 当前则存在四笔巨额借贷,其中以在Aave 协议上的6,500 万美元为最大债仓,$CRV 清算价格在$0.37 至0.4 之间。

多起模仿攻击持续发生

值得一提的是,BNB 智能链(BSC) 的部分稳定币池也受到一系列类似的Vyper 漏洞模仿攻击,也就是其他骇客将同样的攻击方式应用在其他目标上。

据BlockSec数据显示,攻击者借此盗取了7.38 万美元的加密货币,相关攻击将可能持续发生。

本文链接地址:https://www.wwsww.cn/DeFi/20464.html
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。