Odaily星球日报讯 DeFi借贷协议Alchemix发推称，7月30日Curve Finance通知Alchemix，由于Vyper的一个漏洞，其alETH/ETH池可能被攻击。Alchemix迅速采取行动，通过AMO合约从Curve池中移除AMO控制的流动性。

该漏洞是在Curve池合约上执行。Alchemix智能合约没有受到任何攻击，并且资金安全。

Alchemix需要进行三项操作：1. 从Convex解质押LP代币；2. 从Curve池中提取alETH；3. 从Curve池中提取ETH。第一项、第二项操作均已执行，已从Convex解质押LP代币，并从Curve池中移除8000枚alETH。这意味着Curve池中仍有AMO控制的约5000枚ETH流动性。

在移除剩余流动性的过程中，alETH/ETH Curve池被一个攻击者攻击。目前，alETH储备损失约5000枚ETH。

对用户而言，Alchemix金库中的资金是安全的，所有Alchemix合约不受影响。在alETH/ETH Curve池中提供流动性是不安全的。在其他地方为alETH提供流动性在技术上是安全的，但攻击者可能会利用这种流动性出售alETH以换取ETH。alETH的公平价格现在还不得而知，任何持有alETH或提供alETH流动性的用户都面临这种不确定性。

Alchemix建议，任何在去中心化交易平台Saddle Finance的alETH池与Curve的frxETH池中提供流动性的LP尽快撤回流动性。

据此前报道，因Vyper部分版本（0.2.15、0.2.16和0.3.0）存在功能失效的递归锁漏洞，Curve稳定币池alETH/msETH/pETH遭遇攻击。

据派盾监测，截至目前，DeFi借贷协议Alchemix、DeFi公共产品JPEG'd、DeFi合成资产协议Metronome、跨链桥deBridge、采用Curve机制的BNB Chain上DEX Ellipsis、Curve CRV/ETH池已被攻击，损失约5200万美元。