Curve Finance：攻击只对使用Vyper版本和“纯”ETH的用户有影响

7月31日消息，以太坊编程语言Vyper发布公告表示：Vyper版本0.2.15、0.2.16和0.3.0存在功能失效的递归锁漏洞。目前正在进行调查，但任何使用这些版本的项目应立即与我们联系。 Curve官方回应表示，因为Vyper 0.2.15存在漏洞，一些稳定币池（alETH/msETH/pETH）已被攻击。我们正在评估情况，并会随着事态发展向社区发布更新。其它池子是安全的。

金色财经报道，Curve Finance在社交媒体提醒称，Vyper 0.3.7+已进行了较好的重构和审核，虽然不涉及任何保证（也没有任何保证），但最好迁移到最新版本合约。此前，截至目前，Curve Finance官方已确认四个流动性池受到Vyper编译器0.2.15-0.30版本影响，分别是：crv/eth、aleth/eth、mseth/eth、peth/eth，另外Arbitrum上tricrypto的一个流动性池“可能”受到影响，审计员和Vyper开发人员仍无法找到漏洞，因此需要投资者尽快退出。

12月22消息，Curve Finance发文称，已执行Vyper安全事件资金恢复的投票结果，覆盖所有受影响用户。具体补偿包括：白帽黑客向DAO回收的价值720万美元的ETH将被分发；价值4200万美元的CRV补偿未收回部分；投票前分发的其他白帽黑客收回资金。 此前报道，Curve Finance发文称，由于重入锁故障，一些使用Vyper0.2.15的稳定池（alETH/msETH/pETH）受到攻击。

7月31日消息，DeFi协议StaFi发推称，Curve上rETH池不依赖于Vyper版本且未受影响。rETH/ETH和rETH/frxETH池不受Curve事件影响。资金池不依赖于Vyper版本，用户资金是安全的。

8月10日消息，Curve Finance 表示，Curve.fi 域名服务器还没有更新（需要整整 24 个小时且不能加速），但黑客站点已关闭。Curve Finance 提醒用户使用 curve.exchange，或确认 IP 是 76.76.21.21。 BlockBeats 此前报道，8 月 10 日，CertiK 监测显示，Curve Finance 攻击事件中已有包括 USDC 和 DAI 在内价值 61.2 万美元的 Stablecoin 被盗后发送至 0x50f9 开头地址，并被兑换成 ETH。被盗原因是黑客部署了恶意合约并入侵 Curve Finance DNS，使其指向一恶意站点。当个人与黑客合约交互时，用户资金将被转移至黑客钱包。

7月31日消息，智能合约语言Vyper贡献者@fubuloubu针对Curve黑客攻击事件表示，找到该漏洞需要几周到几个月的时间，也许是由一个小团体或团队进行的。我们可能很快就会找到更多信息，但考虑到投入的资源，我认为有理由怀疑国家支持的黑客可能参与其中。 目前只有两个编译器最佳，Vyper的代码库更小，更容易阅读，对其历史进行分析的更改也更少，这可能就是黑客从这里下手的原因，Solidity的代码库要更大一些。 其次，编译器并没有像大家想象的那样受到审查或审计。大多数编译器都会进行重大且频繁的更改，这不利于审计。所有这些都指向最后一个问题：激励问题，即，没有人有动力去寻找编译器中的关键漏洞，尤其是旧版本。 但这并不是Vyper或Curve的终结，我们必须团结起来解决这些类型的公共产品问题，就我个人而言，此前提出过一个提案，该提案将通过添加由用户共同赞助的赏金计划来帮助改进Vyper。