CurveFinance作為Vyper語言的使用者，其多個穩定幣池遭到攻擊并損失了約2500萬美元。

7月30日，智能合約編程語言Vyper的部分版本被發現存在嚴重漏洞，包括CurveFinance在內的重要項目因此遭受了攻擊，損失數千萬美元，此次攻擊事件為智能合約的安全性敲響了警鐘。

本次漏洞源于Vyper語言版本0.2.15至0.3.0之間的重入鎖機制失效。對于區塊鏈項目來說，重入鎖功能失效問題可能會導致合約的執行流程被打斷或者產生不可預期的結果，從而影響整個系統的穩定性。

CurveFinance在推特發表聲明稱，使用Vyper0.2.15編寫的多個穩定幣池（alETH/msETH/pETH）遭到了攻擊。事件發生后，CurveFinance作為Vyper語言的使用者，其多個穩定幣池遭到攻擊并損失了約2500萬美元。CRV代幣價格也在各交易所遭遇閃崩，最小跌至0.08美元。

重入鎖防御失效

北京時間7月30日，Vyper團隊在推特上披露，其智能合約編譯器的最新版本（0.2.15、0.2.16和0.3.0）沒有正確實現防止重入攻擊的保護措施，導致了多個使用Vyper編寫的DeFi（去中心化金融）項目的重入鎖防御失效。Vyper團隊在推特上發表的公告中強烈建議，所有使用了這些受影響版本的項目應立即與他們取得聯系，以獲取及時的技術支持和解決方案。

Curve是以太坊DeFi生態系統中心的穩定幣交易所，專注于穩定幣和其他低波動性資產的交易。據悉，Vyper是一種用于支持Curve系統某些部分的編程語言。目前，該平臺上的幾個穩定幣池已經被黑客攻擊并盜走了資金。

重入攻擊（ReentrancyAttack）是智能合約領域的一個常見漏洞。它指的是合約函數可以在一個函數執行過程中，被同一合約的其他函數再次調用。如果合約邏輯不嚴密，就可能被利用進行重復提取資金等惡意操作。

舉例來說，假設有一個智能合約提供了存款和取款的功能。取款函數的邏輯是先將用戶的余額減去取款金額，然后將取款金額轉給用戶。如果用戶是一個惡意合約，它可以在接收到轉賬時，再次調用取款函數，因為此時合約還沒有更新用戶的余額，所以可以重復取款。這樣就可以將銀行合約中的資金全部轉走。

據悉，Curve運營著232個不同的池，其團隊成員mimaklas在Discord上宣布，只有使用Vyper0.2.15、0.2.16和0.3.0版本的池存在風險，其他池子是安全的。Curve的部分流動性池使用了Vyper編寫的智能合約，因此受到了該漏洞的影響。據估計，Curve的CRV/ETH池被盜走了價值約2500萬美元的資金。此外，Alchemix（alETH發行方）、JPEG'd（pETH發行方）、Metronome（msETH發行方）等其他使用Curve池機制的DeFi項目也遭到了類似的攻擊。mimaklas表示，“所有受影響的池已經被抽空或白帽黑客攻擊，團隊正在與受影響的團隊評估情況。”

值得一提的是，并非所有的攻擊者都是惡意的。部分白帽黑客和MEVBot（最大可提取價值機器人）將盜取的資金返還給了受影響的項目，以減輕他們的損失。例如，CRV/ETH池被攻擊后，一個MEV機器人部署者向Curve部署者返還了價值約539萬美元的2879.54ETH。另一個MEV機器人部署者也向Alchemix返還了價值約1000萬美元的ETH。

據區塊鏈技術安全公司派盾（PeckShield）統計，此次重入攻擊事件已造成約5200萬美元的損失。其中，Curve的CRV/ETH池被盜走了價值約2500萬美元的資金，Alchemix（alETH發行方）、JPEG'd（pETH發行方）、Metronome（msETH發行方）等其他使用Curve池機制的DeFi項目也遭到了類似的攻擊，損失了價值約2700萬美元。

CRV代幣暴跌

這些攻擊引發了社區對CurveDAO的CRV代幣價格波動和清算風險的擔憂。CRV是Curve平臺上的治理和獎勵代幣。事件發生后，CRV在去中心化交易所上一度暴跌了86%，從4.5美元跌至0.6美元。然而，在鏈上數據顯示，攻擊者還沒有開始出售他們盜取的價值約450萬美元的CRV，因此價格可能還會進一步下跌。

極端情況之下，由于CRV的鏈上流動性儲備未能有效承接集中拋壓，今晨CRV在多個DEX上的交易價格均出現了劇烈波動，其中，在3:05至3:15期間，Uniswap（基于以太坊的去中心化交易協議）上CRV/WETH交易對的瞬時價格幾乎歸零，最低一度跌至0.08美元左右。

幸運的是，這一極端瞬時價格并沒有被Chainlink預言機所報出，作為當前業內最常用的預言機服務，Chainlink在3:05至3:15時段所報出的最低價格為0.59美元。這一操作有效地避免了大規模的清算潮，阻止了CRV幣價格進一步暴跌，使DeFi生態免于陷入深淵。此前，Chainlink預言機由于采用了CEXs+DEXs的加權報價機制引發爭議，但在這個特殊時刻，它發揮了制動器的作用，保護了DeFi生態中大量使用CRV幣作為抵押品或流動性資產的用戶和項目，幫助整個行業避免了更大的災難。

這次事件也引起了人們對Curve創始人邁克爾·埃戈羅夫（MichaelEgorov）巨額借貸行為的再一次關注。埃戈羅夫在Aave、Fraxlend、Abracadabra和InverseFinance等頂級借貸協議上，使用了價值超過1億美元的CRV代幣作為抵押物，借入了大量的穩定幣。如果CRV的價格跌破清算線，埃戈羅夫的倉位將被清算，這將對Aave和其他借貸協議造成巨大的壞賬損失，因為CRV的鏈上流動性不足以清算埃戈羅夫的倉位。據悉，埃戈羅夫在事件發生后，迅速償還了部分債務，并增加了抵押物，將他在DeFi借貸平臺Aave上的清算線降低到了$0.37。

目前，為了防止CRV的價格波動導致的連鎖清算，DeFi借貸平臺Aave和其他協議已經暫停了CRV的借款功能，并提高了借貸費用。

Vyper創建于2017年，與Solidity一樣，都是一種面向智能合約的編程語言，可編譯為以太坊虛擬機（EVM）的字節代碼，運行在EVM上。

Vyper的編譯器使用Python進行編寫，是一種基于Python且兼容EVM的編程語言，具有強類型、小型編譯器代碼和高效的字節碼生成的特點，這也使其成為想要進入Web3的Python開發人員的最佳選擇之一。

目前的Vyper也是僅次于Solidity的第二大兼容EVM的智能合約編程語言。從采用率角度，在目前的DeFi開發格局中（TVL占比維度），Solidity以94.71%的市場份額占據絕對壟斷地位，而Vyper以3.04%的市場份額位列第二名。

這次Vyper語言漏洞導致的安全事件，無疑給開發者選擇編程語言帶來了警示。本次事件突顯了Vyper在防范重入攻擊方面的漏洞，這也給該語言的發展帶來了打擊。雖然Vyper具有Python語法的易用性，但安全隱患的存在可能會使很多開發者三思。