对于Curve被攻击事件的经过进行全面概述,揭示了对DeFi的潜在影响才刚刚开始。

对Curve被攻击事件的经过进行概述,揭示了对DeFi的潜在影响才刚刚开始。

智能合约漏洞引发DeFi蔓延风险

攻击媒介

智能合约编程语言Vyper最近发现了一个漏洞,该漏洞导致Vyper的0.2.15、0.2.16和0.3.0版本中的防重入锁失效。恶意行为者利用重入攻击的方式,重新签署合约,从而导致未经授权的操作和资金被盗。数个重要项目,包括Curve Finance,已受到攻击,据初步估计,被利用的金额高达7000万美元。其中,一部分资金由“白帽黑客”和MEV机器人保管,有可能被追回。

Curve炸弹

攻击还涉及Curve的四个资金池:CRV/ETH、alETH/ETH、msETH/ETH和pETH/ETH,超过4500万美元的流动性已从Alchemix(借贷协议)、Metronome(合成资产)和JPEG’d(NFT借贷平台)等池中流失,另外近2500万美元从CRV/ETH池中流出。尽管Vyper的开发人员和审计人员暂时无法找到Arbitrum Tricrypto池的攻击漏洞,但该池也有可能受到影响。值得注意的是,DeFi Llama数据显示,Curve Finance的总锁仓量(TVL)已从7月30日的32.66亿美元降至18.69亿美元,24小时降幅为42.78%。

CRV价格波动

中心化交易所显示,CRV价格最低下探至0.583美元,但在链上,CRV触及了0.109美元的低点。CRV/ETH池遭遇黑客攻击后,链上的CRV流动性变差,导致链上CRV价格发生波动。虽然CRV遭到残酷抛售,但黑客仍然可以从中获利。如果无法成功恢复,可能会导致CRV被抛售,这对借贷协议将产生严重影响。目前,攻击者仍然控制着700万CRV,约合450万美元。

借贷警告

Curve创始人Michael Egorov以自己的CRV作为抵押品,在众多借贷协议上获得了大量贷款,其中最大一笔贷款是在Aave上。如果CRV价格降至清算阈值,借贷协议将被迫清算其CRV头寸。根据加密研究员0xLoki的统计,Michael Egorov目前抵押了2.92亿个CRV(约1.81亿美元),借出了1.1亿美元。这些贷款主要分布在以下几个平台: – 在AAVE上,抵押了1.9亿CRV,借了6500万美元,清算价格为0.37美元。 – 在FRAXlend上,抵押了4600万CRV,借了2100万FRAX,清算价格为0.4美元。 – 在Abracadabr上,存入了4000万CRV,借出了1800万美元,清算价格为0.39美元。 – 在Inverse上,存入了1600万CRV,借出了700万美元,清算价格为0.4美元。

过去6小时,Egorov在AAVE和Abracadabra各补充了约1000万CRV的保证金。

还款狂热

为了避免被清算,Michael Egorov一直在努力还清贷款。由于还款的努力,Egorov在Aave贷款上的新的清算门槛已降至0.37美元。

预警

目前已知链上的流动性不足以清算Michael Egorov的头寸。上个月,DeFi风险管理公司Gauntlet试图冻结Aave的CRV市场,但他们的提议被一致拒绝。CRV/ETH池的流动性已完全消失,而且比Gauntlet提出建议时的流动性还要差。如果Michael Egorov的头寸被清算,坏账似乎是无法避免的。

DeFi溢出

一旦发生坏账,借贷协议将不得不动用保险资金。例如,Aave将从其安全模块中出售AAVE代币以弥补任何短缺,但这种出售将降低剩余抵押品的价值。

流动性影响

广泛的波动性和其他未知因素将导致许多人将自己的流动性撤离Curve。随着Curve和其他链上去中心化交易所的流动性不断降低,价格将变得越来越不稳定。

贷款人撤退

贷款机构正在争相从货币市场协议中提取资金。Aave的USDT资金池利用率超过50%,借款利率上升至91%,给Michael Egorov的头寸带来了巨大压力:如果利率不下降,他的头寸很可能在几天内被清算。

虽然对Curve池造成的损失可能已经显现,但这种利用对去中心化金融的潜在影响可能才刚刚开始。即使借贷协议没有破产,它们可能面临严重的坏账风险。

Reference:

损失超5000万美元,一文梳理编程语言Vyper故障引发的连环攻击事件