Curve 一夜蒸发 7 千万美元!一文梳理 Vyper 故障引发的连环攻击

    内容目录DeFi生态遭遇重大安全危机什么是重入攻击?哪些项目受到影响?事件影响白帽骇客和MEV机器人的作用结论DeFi生态遭遇重大安全危机7月30日,一场严重的安全事件震动了DeFi生态。多个使用Vyper编写的DeFi项目遭到了重入攻击,导致超过7000万美元的加密货币被窃取或转移。Vyper是一种基于Python的智能合约语言,与EVM网络兼容。当天,Vyper团队在Twitter上披露,其智能合约编译器的最新版本(0.2.15、0.2.16和0.3.0)没有正确实现防止重入攻击的保护措施。

    什么是重入攻击?重入攻击是一种恶意行为,攻击者在智能合约的一个函数调用完成之前,反复调用该函数,利用合约的逻辑来窃取资金或操纵数据。例如,如果一个合约在更新余额之前就发送资金给用户,那么攻击者就可以多次调用该函数,从而获得比实际余额更多的资金。哪些项目受到影响?CurveFinance是一个自动化做市商平台,专注于稳定币和其他低波动性资产的交易。Curve的部分流动性池使用了Vyper编写的智能合约,因此受到了该漏洞的影响。

    据MetaMask开发者TaylorMonahan估计,Curve的CRV/ETH池被盗走了价值约2500万美元的资金。此外,Alchemix、Metronome、JPEG等其他使用Curve池机制的DeFi项目也遭到了类似的攻击,损失了价值约4500万美元的流动性。事件影响这些攻击引发了社群对CurveDAO的CRV代币价格波动和清算风险的担忧。CRV是Curve平台上治理和奖励代币,在去中心化交易所上一度暴跌了86%,从$4.5跌至$0.6。然而,在链上数据显示,攻击者还没有开始出售他们盗取的价值约450万美元的CRV,因此价格可能还会进一步下跌。这次事件也重新引起了人们对Curve创始人MichaelEgorov巨额借贷行为的关注。

    Egorov在Aave、Fraxlend、Abracadabra和InverseFinance等顶级借贷协议上,使用了价值超过1亿美元的CRV作为抵押物,借入了大量的稳定币。如果CRV的价格跌破清算线,Egorov的仓位将被清算,这将对Aave和其他借贷协议造成巨大的坏帐损失,因为CRV的链上流动性不足以清算Egorov的仓位。Egorov在事件发生后,迅速偿还了部分债务,并增加了抵押物,将他在Aave上的清算线降低到了$0.37。DeFi借贷平台Aave和其他协议为了防止CRV的价格波动导致连锁清算,暂停了CRV的借款功能,并提高了借贷费用。目前,在Aavev2中有超过3亿枚CRV供应(约95%来自Egorov的供应),仅有约3500万枚CRV已借出。当前,Aave中诸如USDC、USDT和DAI等标的物的存借贷APY发生显著上升,当前USDC存借贷APY仍超过20%,USDT超过25%。

    白帽骇客和MEV机器人的作用值得一提的是,并非所有的攻击者都是恶意的。部分白帽骇客和MEV机器人将盗取的资金返还给了受影响的项目,以减轻他们的损失。例如,CRV/ETH池被攻击后,一个MEV机器人部署者c0ffeebabe.eth向Curve部署者返还了价值约539万美元的2879.54ETH。另一个MEV机器人部署者也向Alchemix返还了价值约1000万美元的ETH。结论CurveVyperBug是一场严重的安全事件,影响了许多DeFi项目和用户。它暴露了Vyper编译器的缺陷,以及Curve平台和生态系统的脆弱性。它也提醒了我们,在DeFi领域,风险无处不在,需要谨慎投资和管理资产。(以上内容获合作伙伴MarsBit)声明:文章仅代表作者个人观点意见,不代表区块客观点和立场,所有内容及观点仅供参考,不构成投资建议。投资者应自行决策与交易,对投资者交易形成的直接间接损失作者及区块客将不承担任何责任。

Pixel Artist Pixel Artist
Happy Kittens Puzzle Happy Kittens Puzzle
Penguin Cafe Penguin Cafe
Animal Connection Animal Connection
Snakes N Ladders Snakes N Ladders
Pixel Skate Pixel Skate
BeeLine BeeLine
Draw Parking Draw Parking
Draw Racing Draw Racing
Soccer Balls Soccer Balls
Happy Fishing Happy Fishing
Crashy Cat Crashy Cat

FREE GAMES FOR KIDS ONLINE