北京時間7月30日、スマートコントラクトプログラミング言語Vyperの一部のバージョンに重大な脆弱性があることが判明し、その結果、Curve Financeを含むいくつかの重要プロジェクトが攻撃を受けた。

イーサリアム スマート コントラクト プログラミング言語である Vyper の Twitter 発表によると、そのバージョンのうち 3 つ (0.2.15、0.2.16、0.3.0) には、再入ロックを無効にする可能性がある深刻な脆弱性があります。ブロックチェーン プロジェクトの場合、この問題によりコントラクトの実行プロセスが中断されたり、予期しない結果が生じたりする可能性があり、その結果システム全体の安定性に影響を与える可能性があります。発表の中で、Vyperチームは、これらの影響を受けるバージョンを使用しているすべてのプロジェクトに対し、タイムリーな技術サポートと解決策について直ちに連絡することを強く推奨しています。

ただし、この脆弱性の影響はすでに発生しています。その1分後、Curveチームは、alETH、msETH、pETHなど、Vyperバージョン0.2.15を使用する一部の安定したプールが、リエントリーロック機能の失敗によりサイバー攻撃を受けたとツイートした。この脆弱性により、攻撃者は単一トランザクションで特定の機能を複数回実行することができ、関連するブロックチェーン プロジェクトに重大な損害を与える可能性があります。

画像の説明

！

カーブのツイッターでの声明。

画像の説明

JPEG 化されたトークン価格。出典: Coinmarketcap

JPEGのプロジェクトもCurveのリリース後に反応し、「私たちのプロトコルはこのハッキング事件の範囲内ではなく、私たちの開発者は非常に強力である」と主張した。

さらに、他のプロジェクト当事者2社も影響を受けた。ヘキサゲートによると、融資プロジェクトのAlchemixFiとDeFiプロトコルのMetronomeDAOも攻撃され、攻撃者は合計1300万ドルと160万ドルの利益を得たという。両プロジェクトは初めて声明を発表し、アルケミックスはプロジェクトトークンの価格不安定につながる可能性のあるハッキング事件に気づいたと主張し、LPがプールから流動性をできるだけ早く引き出すよう提案した。

MetronomeDAOは、「msUSDペアで流動性を提供するプロバイダー、およびベロドロームでmsETHとやり取りするオプティミズムユーザーは、そのポジションが影響を受けないことに注意する必要があります。さらに、メトロノームのすべてのデポジットとオープンポジションは影響を受けません。この事件の影響を受けます。」と述べました。