以太坊 DeFi 交換協議 Curve Finance 於 7 月 30 日傳出遭到駭客利用 Vyper 漏洞,藉此竊取其穩定幣資金池(alETH/msETH/pETH),官方表示目前數個版本的 Vyper 軟體都存在同樣的漏洞,包含 0.2.15 、 0.2.16 以及 0.3.0 這三個更新版本。
資安公司 Ancilia 則表示約有 136 個合約受到影響,估計被提取其資金池約 4,700 萬美元的加密貨幣,根據早期的調查結果顯示,部分 Vyper 編譯器沒有正確執行其可重入(Reentrancy)防護,導致 DeFi 協議中多個功能同時被呼叫執行,讓駭客可以藉此提取資金池內的加密貨幣。
也有其他 DeFi 專案受到這項漏洞影響,像是 Ellipsis 、 Alchemix’s 等專案都有回報可疑活動,Curving Finance 執行長 Michael Egorov 稍後在 Telegram 證實價值 2,200 萬美元的 CRV 遭到竊取,這也導致 CRV 價格過去 24 小時內暴跌 15% 。
聲明:文章僅代表作者個人觀點意見,不代表區塊客觀點和立場,所有內容及觀點僅供參考,不構成投資建議。投資者應自行決策與交易,對投資者交易形成的直接間接損失作者及區塊客將不承擔任何責任。