베이징 시간으로 7월 30일, 스마트 계약 프로그래밍 언어인 Vyper의 일부 버전에 심각한 취약점이 있는 것으로 밝혀졌으며 그 결과 Curve Finance를 포함한 일부 중요한 프로젝트가 공격을 받았습니다.

Ethereum 스마트 계약 프로그래밍 언어인 Vyper의 트위터 발표에 따르면 해당 버전 중 3개(0.2.15, 0.2.16 및 0.3.0)에는 재진입 잠금을 비활성화할 수 있는 심각한 취약점이 있습니다. 블록체인 프로젝트의 경우, 이 문제로 인해 계약의 실행 프로세스가 중단되거나 예측할 수 없는 결과가 발생하여 전체 시스템의 안정성에 영향을 미칠 수 있습니다. 발표에서 Vyper 팀은 영향을 받는 버전을 사용하는 모든 프로젝트가 적시에 기술 지원 및 솔루션을 위해 즉시 연락할 것을 강력히 권장합니다.

그러나 이 취약점의 영향은 이미 발생했습니다. Curve 팀은 1분 후 alETH, msETH 및 pETH를 포함하여 Vyper 버전 0.2.15를 사용하는 일부 안정적인 풀이 재진입 잠금 기능 실패로 인해 사이버 공격을 받았다고 트윗했습니다. 이 취약점으로 인해 공격자는 단일 트랜잭션에서 특정 기능을 여러 번 실행할 수 있으며 잠재적으로 관련 블록체인 프로젝트에 심각한 피해를 입힐 수 있습니다.

이미지 설명

！

Curve의 트위터 성명.

이미지 설명

JPEG 토큰 가격. 출처: 코인마켓캡

JPEG'd 프로젝트도 Curve 출시 이후 우리 프로토콜은 이번 해킹 사건의 범위에 속하지 않으며 우리 개발자들은 매우 강력하다고 주장하면서 대응했습니다.

또한 다른 두 프로젝트 당사자도 영향을 받았습니다. Hexagate에 따르면 대출 프로젝트 AlchemixFi와 DeFi 프로토콜 MetronomeDAO도 공격을 받았으며 공격자는 총 1,300만 달러와 160만 달러의 수익을 올렸습니다. 두 프로젝트 모두 처음으로 성명을 발표했는데, 알케믹스는 프로젝트 토큰 가격의 불안정을 초래할 수 있는 해킹 사건을 인지했다고 주장하며, LP가 풀에서 최대한 빨리 유동성을 회수할 것을 제안했다.

MetronomeDAO는 msUSD 쌍에 유동성을 제공하는 모든 제공자와 Velodrome에서 msETH와 상호 작용하는 Optimism 사용자는 자신의 위치가 영향을 받지 않는다는 점에 유의해야 합니다. 또한 모든 메트로놈 예금과 공개 위치도 이번 사건의 영향을 받지 않습니다.라고 밝혔습니다.