Odaily星球日报讯 DeFi借贷协议Alchemix发推称,7月30日Curve Finance通知Alchemix,由于Vyper的一个漏洞,其alETH/ETH池可能被攻击。Alchemix迅速采取行动,通过AMO合约从曲线池中移除AMO控制的流动性。
该漏洞是在Curve池合约上执行。Alchemix智能合约没有受到任何攻击,资金安全。需要进行三项交易:从Convex撤回LP代币、从Curve池中提取alETH、从曲线池中提取ETH。第一项交易从Convex中解质押LP代币已执行,第二笔交易执行后,从曲线池中移除8000枚ETH。曲线池中仍有AMO控制的约5000枚ETH流动性。
在移除剩余流动性的过程中,alETH/ETH曲线池被一个攻击者攻击。目前,alETH储备损失约5000枚ETH。
对用户而言,Alchemix金库中的资金是安全的,所有Alchemix合约不受影响。在alETH/ETH曲线池中提供流动性是不安全的。在其他地方为alETH提供流动性在技术上是安全的,但攻击者可能会利用这种流动性出售alETH以换取ETH。alETH的公平价格现在还不得而知,任何持有alETH或LPing alETH的用户都面临这种不确定性。Alchemix建议任何在去中心化交易平台Saddle Finance的alETH池与Curve的frxETH池中提供流动性的LP尽快撤回流动性。
据此前报道,因Vyper部分版本(0.2.15、0.2.16和0.3.0)存在功能失效的递归锁漏洞,Curve稳定币池alETH/msETH/pETH遭遇攻击。
据派盾监测,截至目前,DeFi借贷协议Alchemix、DeFi公共产品JPEG'd、DeFi合成资产Metronome、跨链桥deBridge、采用Curve机制的BNB Chain上DEX Ellipsis、Curve CRV-ETH交易对已被攻击,损失约5200万美元。