Vyper語言部分版本存在漏洞，Curve等項目受到攻擊

北京時間7 月30 日，智能合約編程語言Vyper 的部分版本被發現存在嚴重漏洞，一些包括Curve Finance 在內的重要項目因此遭受了攻擊。

根據以太坊智能合約編程語言Vyper 的Twitter 公告顯示，其三個版本—— 0.2.15、 0.2.16 和0.3.0 存在嚴重的漏洞問題，它們的重入鎖功能可能會失效。對於區塊鏈項目來說，這一問題可能會導致合約的執行流程被打斷或者產生不可預期的結果，從而影響整個系統的穩定性。 Vyper 團隊在公告中強烈建議，所有使用了這些受影響版本的項目應立即與他們取得聯繫，以獲取及時的技術支持和解決方案。

但是，本次漏洞的影響已經發生了。 Curve 團隊緊接著在一分鐘之後發推說，一些使用了Vyper 0.2.15 版本的穩定池，包括alETH、msETH 以及pETH，因為重入鎖功能的失效，已經遭受了網絡攻擊。這一漏洞允許攻擊者在單次交易中多次執行某些功能，可能對相關區塊鏈項目造成重大損失。

Curve 團隊同時承諾，其他池子是安全的，本次漏洞在之前的開發過程中從來沒有被注意到，直到今天。 Curve 的代幣也同時暴跌，日內跌幅達到15.45% 。

！

Curve 的推特聲明。

數個項目受到了影響。根據鏈上數據監測方Supremacy 顯示，NFT 質押協議JPEG'd 受到了該重入漏洞的影響，目前被盜的資產達到了1000 萬美元左右。緊接著，另兩個鏈上安全賬號派盾和Hexagate 也發推@了JPEG'd 項目方，聲稱該交易為黑客交易。這一事件導致JPEG'd 的代幣價值跳水，從穩定在0.00062 左右跌至0.0003 ，現回升至0.00049 ，單日跌幅達到21.63% 。

JPEG'd 代幣價格。來源：Coinmarketcap

JPEG'd 項目方在Curve 發布之後也做出了回應，聲稱“我們的協議不在此次黑客事件的範圍當中，我們的開發者很厲害”。

除此之外，還有兩個項目方也受到了影響：根據Hexagate 的消息，借貸項目AlchemixFi 和DeFi 協議MetronomeDAO 也受到了攻擊，攻擊者共獲取了1300 萬美元和160 萬美元的利潤。兩個項目均在第一時間發表了聲明，Alchemix 聲稱已經註意到該黑客事件，此事件可能導致項目代幣價格不穩定，且建議LP 盡快從該池子中撤出流動性。

MetronomeDAO 則表示，“任何在msUSD 對上提供流動性的提供者，以及在Velodrome 上與msETH 交互的Optimism 用戶，都應注意他們的頭寸沒有受到影響。此外，所有的Metronome 存款和未結頭寸並未受到此次事件的影響。”