就在7月30日,区块链技术和加密货币产业遭遇了一场严重的危机。一些使用Vyper编程语言开发的去中心化金融(DeFi)协议被黑客利用漏洞攻击,导致数千万美元的数字资产被盗。这些被攻击的协议包括Curve Finance、Alchemix、PEGd、Metronome等,涉及多种稳定币和代币。这起事件引发了社区的恐慌和质疑,也暴露了区块链技术和加密货币产业在安全性、可靠性和可持续性方面的缺陷和挑战。
事件经过
7月30日22:04分 PETH/ETH爆出被攻击
JPEG'd 被爆出遭遇攻击,损失至少约 1000 万美元。JPEG'd 遭遇攻击的根本原因在于重入,攻击者在调用 remove_liquidity 函数移除流动性时通过重入 add_liquidity 函数添加流动性,由于余额更新在重入进 add_liquidity 函数之前,导致价格计算出现错误。
22:50分 msETH-ETH 被攻击。
23:34分 alETH-ETH 被攻击。
0:44分 vyper官方发布
Vyper 0.2.15、0.2.16 和 0.3.0 版本受到重入锁故障的影响,调查仍在进行中。
0:45分 Curve Finance 发布推文
由于重入锁故障,一些使用 Vyper 0.2.15 的稳定池(alETH/msETH/pETH)受到攻击。目前,Curve 正在评估情况,其他池是安全的。此外,Curve 进一步表示,「危险的组合是受影响的 Vyper 版本与使用纯 ETH」。
03:08分
CRV-ETH 被攻击,链上 CRV 最低跌到 0.08 左右,但由于 AAVE 的价格取自Chainlink,幸好Chainlink采用了「CEXs + DEXs」的加权报价逻辑报出的最低价格为0.59 美元,使得 Curve 创始人 Michael Egorov 在 AAVE 的仓位未被清算。否则引发的连环清算足以让摧毁整个Defi行业。
你可以想象一下第二天早上一起来整个Defi直接就没了是个什么概念。你本来想挖挖矿赚点稳定收益,结果起床发现矿都塌了
后续影响
到目前为止,一共有四个协议受到了这个漏洞的影响,分别是CurveFinance、Alchemix、PEGd和Metronome。这些协议的损失金额总计约为7000万美元,其中包括多种稳定币和代币。具体的损失金额如下:
·Curve Finance:约2500万美元,主要是CRV/ETH池子被攻击。
·Alchemix:约1900万美元,主要是ALCX/ETH池子被攻击。
·PEGd:约1500万美元,主要是PEG/ETH池子被攻击。
·Metronome:约1100万美元,主要是MET/ETH池子被攻击。
Curve Finance TVL 24 小时减少 43.6%,目前为 18.4 亿美元;Convex Finance TVL 24 小时减少 48.5%,目前为 149 亿美元
Vyper编译器漏洞
Vyper编译器漏洞是指在Vyper编程语言的某些版本中存在的一个重入锁(reentrancy lock)失效的问题。Vyper是一种专门为以太坊虚拟机(EVM)设计的合约编程语言,它被认为是一种更安全、更简洁、更易读的语言。许多DeFi协议都使用Vyper来开发智能合约,以实现各种金融功能。
重入锁是一种防止重入攻击(reentrancy attack)的机制。重入攻击是指在一个合约调用另一个合约时,在第一个合约执行完毕之前,第二个合约再次调用第一个合约,从而导致第一个合约被多次执行,并可能造成数据或资金被篡改或盗取。重入锁是通过设置一个状态变量来实现的,当一个合约被调用时,这个变量被设为锁定状态,当这个合约执行完毕时,这个变量被设为解锁状态。这样,如果在一个合约执行过程中,另一个合约试图再次调用这个合约,就会被拒绝,从而防止重入攻击。
Vyper编译器漏洞是指在Vyper的某些版本中,重入锁的状态变量没有被正确地设置和恢复,导致重入锁失效,从而使得一些使用Vyper开发的合约容易受到重入攻击。根据BlockSec团队的分析,这个漏洞与Vyper中的一个选项“use_eth”有关,这个选项可以让合约接受以太币(ETH)作为支付或存储价值的方式。如果一个合约使用了这个选项,并且与包含包装以太币(WETH)的池子进行交互,那么这个合约就可能受到重入攻击。
这个漏洞的特点是比较隐蔽和普遍的。它隐蔽在Vyper编译器的内部逻辑中,不容易被开发者或用户发现。普遍存在于Vyper的多个版本中,影响了多个DeFi协议和池子。这个漏洞导致了数千万美元的数字资产被黑客盗取,给DeFi协议和用户造成了巨大的损失。同时打击了DeFi协议和用户对Vyper编程语言和区块链技术的信心和信任,给区块链技术和加密货币产业带来了负面的影响。、
这次影响远远还没完全显现,或许还有更大的风暴正在酝酿。