今晨,以太坊上的去中心化交易所 Curve Finance 因重入漏洞遭攻擊,總損失超過 5,000 萬美元,其他相關的 DeFi 協議也都受到同樣嚴重的影響,甚至引起各大交易平台價格的劇烈波動,本文將詳細整理受影響協議與有關風險。
(回顧:)
內容目錄
Curve Finance 協議版本漏洞遭利用
起因
Curve Finance 的漏洞於「重入漏洞」,駭客透過在單筆交易中重複調用特定函數,並中斷原先多步驟的驗證流程;使之能持續執行惡意操作,藉以在流動性池中盜取超過其權限範圍的資金。
該漏洞能透過「重入鎖 (reentrancy lock)」阻擋,並防止合約在同一時間多次執行特定函數。
然而,Vyper 程式語言的部分版本。據 Vyper ,其 0.2.15、0.2.16 和 0.3.0 版本存在此漏洞。
此前,以太坊 zkSync 上的 也是受到類似的,可推測有心人士在該事件後,於各大協議發現相似的漏洞,因而先後發動攻擊。
漏洞先前已被意外修復
另外,據鏈上安全研究員 Chaofan Shou ,該漏洞早在 2021 年的 Vyper 0.3.1 版本就已經被意外修復。
目前仍未確定 Vyper 官方是否知悉此事,但能知道的是,該嚴重漏洞並沒有被明確警示或標記出來。
24H當舖這麼多間?哪一家才是有政府立案呢?刷卡換現金到底安不安全?理財專家現身分析說明!夏小姐提供線上刷卡換現金服務,3D驗證刷卡換現金超有保障。未上市股票風險大嗎?投資必讀10大攻略!不限車種桃園當舖免留車助你安心借款,立即解決你的資金問題!屏東軍公教借款各家評價及利息一覽表。提供多種借貸服務給客戶選擇,士林汽車借款貸款車分期車皆可。中和當舖利息如何計算?抵押期限多久?未上市股票買賣運作流程及應注意事項為何?想知道更多屏東當舖可安心借貸,政府合法立案當舖在哪裡嗎?中山區當舖借款最快何時可撥款?老字號中和當舖推薦.專業公營當舖借貸流程懶人包,資金有缺口?台北借錢火速放款助你短期周轉.房屋二胎借款流程資訊整合.企業周轉問題,支票借款讓你放心借貸是優質合法當舖政府立案合法成立的合法當舖、正派經營,以專業、負責且積極的態度來 服務我們每一位客戶。提供多種借貸服務給客戶選擇,24小時當舖,汽機車借款申辦時要注意的三件事;高雄機車借錢,高雄汽車借款免留車案例分享。最新年度二胎房貸比較;高雄免留車當舖有規定哪種車款才能借貸嗎?急需現金,松山區汽車借款。鉅泓資融辦理台北支票貼現、台北票貼借錢,票期長短皆可全額貼。
什麼是 Vyper?
Vyper 是一種支援 Python 的以太坊相容智能合約語言,專為以太坊虛擬機 ( EVM ) 設計。該編程語言因其相對 Solidity 而言,對開發者較為友善,被認為是 Web3 中使用最廣泛的語言之一,可見其影響甚大。
受影響協議與衍伸風險
各協議損失
目前受到影響的協議,經如下:
- Curve:CRV-ETH 池,2,410 萬美元損失
- Alchemix:alETH-ETH 池,2,061 萬美元損失
- Metronome:pETH-ETH 池,1,140 萬美元損失
- JPEGd:sETH-ETH 池, 162 萬美元損失
據鏈上數據觀察員 Tay 整理,部分資金已透過多名白帽駭客。
相關風險
資安公司 Ancilia ,當前有 98 個智能合約是透過 Vyper 0.2.16 版本編寫,另有 226 個合約使用 Vyper 0.3.0,代表仍有許多未升級版本的協議存在風險。協議審計公司 BlockSec 也,該漏洞可能讓所有與 wETH 有關的流動性池暴露在危險中。
另外,Curve 創辦人 Mich Will 當前則,其中以在 Aave 協議上的 6,500 萬美元為最大債倉,$CRV 清算價格在 $0.37 至 0.4 之間。
多起模仿攻擊持續發生
值得一提的是,BNB 智能鏈 (BSC) 的部分穩定幣池也受到一系列類似的 Vyper 漏洞模仿攻擊,也就是其他駭客將同樣的攻擊方式應用在其他目標上。
據 BlockSec 顯示,攻擊者藉此盜取了 的加密貨幣,相關攻擊將可能持續發生。