Vyper语言部分版本存在漏洞，Curve等项目受到攻击

北京时间 7 月 30 日，智能合约编程语言 Vyper 的部分版本被发现存在严重漏洞，一些包括 Curve Finance 在内的重要项目因此遭受了攻击。

根据以太坊智能合约编程语言 Vyper 的 Twitter 公告显示，其三个版本—— 0.2.15、 0.2.16 和 0.3.0 存在严重的漏洞问题，它们的重入锁功能可能会失效。对于区块链项目来说，这一问题可能会导致合约的执行流程被打断或者产生不可预期的结果，从而影响整个系统的稳定性。Vyper 团队在公告中强烈建议，所有使用了这些受影响版本的项目应立即与他们取得联系，以获取及时的技术支持和解决方案。

但是，本次漏洞的影响已经发生了。Curve 团队紧接着在一分钟之后发推说，一些使用了 Vyper 0.2.15 版本的稳定池，包括 alETH、msETH 以及 pETH，因为重入锁功能的失效，已经遭受了网络攻击。这一漏洞允许攻击者在单次交易中多次执行某些功能，可能对相关区块链项目造成重大损失。

Curve 团队同时承诺，其他池子是安全的，本次漏洞在之前的开发过程中从来没有被注意到，直到今天。Curve 的代币也同时暴跌，日内跌幅达到 15.45% 。

Curve 的推特声明。

数个项目受到了影响。根据链上数据监测方 Supremacy Alert 显示，NFT 质押协议 JPEG ’d 受到了该重入漏洞的影响，目前被盗的资产达到了 1000 万美元左右。紧接着，另两个链上安全账号派盾和 Hexagate 也发推@了 JPEG‘d 项目方，声称该交易为黑客交易。这一事件导致 JPEG‘d 的代币价值跳水，从稳定在 0.00062 左右跌至 0.0003 ，现回升至 0.00049 ，单日跌幅达到 21.63% 。

JPEG'd 代币价格。来源：Coinmarketcap

JPEG‘d 项目方在 Curve 发布之后也做出了回应，声称“我们的协议不在此次黑客事件的范围当中，我们的开发者很厉害”。

除此之外，还有两个项目方也受到了影响：根据 Hexagate 的消息，借贷项目 AlchemixFi 和 DeFi 协议 MetronomeDAO 也受到了攻击，攻击者共获取了 1300 万美元和 160 万美元的利润。两个项目均在第一时间发表了声明， Alchemix 声称已经注意到该黑客事件，此事件可能导致项目代币价格不稳定，且建议 LP 尽快从该池子中撤出流动性。

MetronomeDAO 则表示，“任何在 msUSD 对上提供流动性的提供者，以及在 Velodrome 上与 msETH 交互的 Optimism 用户，都应注意他们的头寸没有受到影响。此外，所有的 Metronome 存款和未结头寸并未受到此次事件的影响。”