更新（世界协调时 7 月 30 日晚上 7：55）：本文已更新，提供有关漏洞利用的更多详细信息

7月30日，使用Vyper的曲线金融上的几个稳定池被利用，损失超过4700万美元。根据Vyper的说法，其0.2.15，0.2.16和0.3.0版本容易受到故障重入锁的影响。

“调查正在进行中，但任何依赖这些版本的项目都应该立即与我们联系，”Vyper在X上 写道 。 根据安全公司Ancilia对 受影响 合同的分析，136份合约使用Vyper 0.2.15和重入保护，98份合约使用Vyper 0.2.16，226份合约使用Vyper 0.3.0。

由于重入锁故障，许多使用 Vyper 0.2.15 的稳定池（alETH/msETH/pETH）已被利用。我们正在评估情况，并将随着事情的发展向社区更新。 其他游泳池是安全的。 https://t.co/eWy2d3cDDj

— 曲线金融 （@CurveFinance） 2023 年 7 月 30 日

根据初步调查，某些版本的 Vyper 编译器没有正确实现重入保护，这可以通过锁定合约来防止多个函数同时执行。重入攻击可能会耗尽合约中的所有资金。

Vyper是一种面向合约的pythonic编程语言，面向 以太坊虚拟机（EVM）。Vyper与Python的相似之处使该语言成为Python开发人员进入Web3的起点之一。

许多去中心化金融项目受到攻击的影响。去中心化交易所Ellipsis 报告说 ，使用旧的Vyper编译器利用了少量带有BNB的稳定池。Alchemix 的 alETH-ETH 也见证了 1360 万美元的流出，以及 JPEGd 的 pETH-ETH 池中的 1140 万美元和 Metronome 的 sETH-ETH 池中的 160 万美元。Curving Finance首席执行官迈克尔·埃戈罗夫（Michael Egorov）后来证实 ，价值超过2200万美元的3200万个CRV代币已从Telegram频道的交换池中耗尽。

某些类型的 Curve 工厂池遇到只读重入攻击，导致总损失 $11m（@JPEGd_69） + $13m（@AlchemixFi） + ... 初步调查发现 vyper 编译器 （0.2.15） 没有正确实现重入防护。 add_liquidity... pic.twitter.com/avaHdtSFsm

— 托尼·凯 （@tonyke_bot） 2023 年 7 月 30 日

该漏洞引发了整个DeFi生态系统的恐慌，引发了一波跨池交易和白帽子的救援行动。来自CoinMarketCap的数据显示，Curve Finance的实用代币Curve DAO（CRV）因这一消息而下跌超过5%。据Cointelegraph报道，CRV的流动性在最近几个月大幅下降，使其容易受到剧烈的价格波动的影响。根据Curve Finance的说法，crvUSD合约及其任何资金池都没有受到攻击的影响。

曲线金融是一种 DeFi 协议，可实现以太坊内稳定币的去中心化交换 （DEX）。该协议已成为其生态系统内一系列事件的目标。就在几天前，其综合平台Conic Finance 被以326万美元的以 太币（ETH）利用，几乎全部被盗金额在一次交易中发送到新的以太坊地址。

在过去的几个月里，DeFi协议已成为 多次攻击的目标。根据 Web3 投资组合应用程序 De.Fi 的一份报告，仅在 2023 年第二季度，就通过 DeFi 黑客和诈骗诈骗诈骗了超过 2.04 亿美元。

杂志：加密项目应该与黑客谈判吗？可能

作者：深链DCNews 

编译：深姐 

推特：深链DeepChain 

Twitter：https://twitter.com/DeepChainUS