7 月 30 日,Curve Finance 矿池在一次重入攻击中遭到黑客攻击,给整个 DeFi 生态系统带来了冲击。区块链社区整理了本周的事件。
一场地震安全事件导致 Curve Finance 资金池中超过 6100 万美元被盗,导致多个协议面临更广泛的蔓延风险,去中心化金融 (DeFi) 生态系统经历了充满挑战的一周。
这次攻击暴露了 DeFi 项目的漏洞,并引发了过去几天追回被盗资金的努力。在社区应对这一漏洞的后果时,区块链社区整理了本周的事件,提供了自 7 月 30 日黑客攻击以来所发生事件的时间表。
黑客攻击:由于可重入漏洞,Curve Finance 资金池被利用超过 6100 万美元
Curve Finance 上使用 Vyper 编程语言的几个稳定矿池于 7 月 30 日被利用,损失超过 6100 万美元(总损失最初估计为 4700 万美元)。该漏洞是在 Vyper 0.2.15、0.2.16 和 0.3.0 版本中发现的。
多个 DeFi 项目受到此次攻击的影响。去中心化交易所(DEX)Ellipsis报道称,少量BNB稳定矿池使用旧的 Vyper 编译器被利用。Alchemix 的 alETH-ETH 也因此次攻击而流出 1,360 万美元,同时 JPEGd 的 pETH-ETH 池中的 1140 万美元被利用,Metronome 的 sETH-ETH 池中的 160 万美元被利用。Curve Finance 首席执行官 Michael Egorov 还证实,价值超过 2200 万美元的 3200 万个 Curve DAO (CRV) 代币已从互换池中耗尽。
由于同样的漏洞,BNB 智能链(BSC) 也成为模仿攻击的受害者,BSC 上价值约 73,000 美元的加密货币通过三个漏洞被盗。
自从该漏洞的消息曝光以来,白帽和黑帽黑客一直在链上展开较量,试图破坏彼此的漏洞尝试或追回资金的努力。
初步调查发现,某些版本的 Vyper 编译器没有正确实现重入保护,该保护通过锁定合约来防止多个函数同时执行。
影响:Vyper 漏洞使 DeFi 生态系统面临压力测试
该安全事件使 DeFi 协议 在接下来的几天内接受了压力测试,引发了人们对该漏洞对加密生态系统影响的担忧,特别是因为该漏洞可能使所有包含Wrapped Ether (WETH)的池面临受到攻击的风险。
Vyper 是一种专为以太坊虚拟机设计的合约编程语言。它被认为是使用最广泛的 Web3 编程语言之一,这意味着它的三个版本中的错误可能会威胁到其他几个协议。
该漏洞还导致了有史以来最大的最大可提取价值(MEV)奖励块之一,即 584.05 以太坊。据以太坊核心开发人员“eric.eth”称,该机器人注意到内存池中出现了黑客攻击,**了该交易并抢先运行。“为了做到这一点,他们向区块生产者支付了大量的 ETH,让他们能够排在前面,”他解释道。MEV 机器人可以看到待处理的清算交易,并提前以折扣价购买清算资产。
Curve 首席执行官急于支付抵押贷款
其他地方的威胁也可能对整个 DeFi 产生连锁反应。Curve Finance 创始人Michael Egorov拥有约 1 亿美元的贷款,由该协议原生代币 CRV 流通量的 47% 提供支持。
然而,由于担心 Egorov 的抵押贷款将被清算,CRV 价格在黑客攻击后下跌了近 30%,跌至 0.48 美元的低点。
为了减少债务状况,Egorov将 3925 万枚 CRV 代币出售给几位著名的 DeFi 投资者,包括孙宇晨、Machi Big Brother 和 DWF Labs,总价值为 1580 万美元。买家以每个代币 0.40 美元的价格购买 CRV,比当时的市场价格有 25% 的折扣。此外,叶戈罗夫还支付了 Aave 和 Frax Finance 的两笔贷款的部分款项。
由于多个矿池的大量流失,CRV 代币价格在 DeFi 市场暴跌;然而,它最终被中心化交易所(CEX)价格供给挽救了。CRV 价格在 DEX 上触及 0.086 美元,但在 CEX 上交易价格为 0.60 美元,防止了代币价格暴跌至零。
这一具有讽刺意味的事件引起了币安首席执行官赵长鹏的注意,他笑道,最终是 CEX 的喂价拯救了 DeFi 协议。
为了应对不确定的环境,Curve 的原生稳定币 crvUSD于 8 月 3 日短暂脱钩。这种算法稳定币在重新与美元挂钩之前下跌了 0.35%。最近推出的 crvUSD 使用一种称为 PegKeeper 算法的锚定机制,确保 crvUSD 价值得到抵押品的适当支持,同时平衡供需。
DeFi 社区:黑客利用 Curve Finance 取回 540 万美元
危机期间,DeFi 社区与 Curve Finance 站在一起。7 月 31 日,一名白帽黑客成功 从漏洞利用者处取回了约 2,879 个以太币,价值约 540 万美元,并将这些 ETH 返还给了 Curve Finance。几小时后,另一名道德黑客夺取了近 3,000 个 ETH,并将 ETH 返还至 Curve 的部署者地址。
由于担心 Egorov 的贷款会被清算,火币联合创始人杜军以400 万美元的价格从 Curve 首席执行官手中购买了 1000 万个 CRV 。此外,Aave Chan 创始人 Marc Zeller提议 Aave Treasury从该协议购买价值 200 万美元的 CRV 代币。根据该提案,此次收购将表明 DeFi 参与者支持生态系统的健康。
跨链借贷平台 Abracadabra Money 还提议提高其未偿还贷款的利率,以管理与 CRV 敞口相关的风险。
8 月 3 日,Curve、Metronome 和 Alchemix 联合宣布了一项计划,旨在追回最近因 Curve 矿池漏洞而被盗的资金。该协议提供了所扣押资金 10% 的赏金作为奖励,敦促那些对漏洞负责的人站出来返还剩余的 90%,这将使赏金接近 700 万美元。
该要约附带保证不会采取进一步的法律行动或涉及执法部门。“我们希望以文明的方式解决这个问题,”协议在给黑客的信中写道。
8 月 4 日,不到 24 小时,发起这一价值数百万美元漏洞的最初攻击者显然接受了赏金,并开始返还几天前被盗的资金。黑客向 Alchemix Finance 团队返还 4,820.55 个 Alchemix ETH (alETH),价值约 8,889,118 美元,并向 Curve Finance 团队返还 1 ETH,约 1,844 美元。
攻击者还发布了一条似乎是针对 Alchemix 和 Curve 团队的消息,声称愿意归还资金,但这只是因为该人不想“破坏”所涉及的项目,而不是因为攻击者被抓获。
截至撰写本文时,已返还价值总计 890 万美元的加密货币,大约相当于所流失总量的 15%。
