全过程一览:Curve 遭黑客攻击,多个 DeFi 项目被波及,语言层 Bug 引发恐慌。

Curve 遭黑客攻击,多个 DeFi 项目受波及,语言层 Bug 引发恐慌。

CRV 攻击事件:区块链安全漏洞再次挑战金融世界

编辑 | 吴说区块链

事件经过 更多: reurl.cc/01bzgk

7月30日21:34,PeckShield监测到NFT借贷协议JPEG’d疑似被攻击,在21:10,6,100多枚WETH(价值约1,145万美元)被转移至地址:0×94…A6Ab中。Curve Finance指出,JPEG’d遭到只读重入攻击。目前Curve上pETH-ETH pool中pETH价格跌至$383。pETH是一种由JPEG’d发行的ETH衍生资产。JPEG’d发推表示,pETH-ETH curve池遭到攻击,允许借贷NFT的保险库合约仍然安全且运行稳定,NFT和国库资产未受影响。

22:50 msETH-ETH被攻击。

23:34 alETH-ETH被攻击。

7月31日0:44以太坊编程语言Vyper发推表示,Vyper 0.2.15、0.2.16和0.3.0版本的重入锁失效。

0:45 Curve官方推特发文表示,由于重入锁出现故障,许多使用Vyper 0.2.15的稳定币池(alETH/msETH/pETH)遭到攻击,其他池是安全的。

0:57 派盾统计受此影响,DeFi借贷协议Alchemix、NFT借贷协议JPEG’d、DeFi合成资产协议MetronomeDAO、跨链桥deBridge和采用Curve机制的BNB Chain上DEX项目Ellipsis累计损失超2676万美元。

2:46 Metronome发文称作为预防措施,已暂停Metronome主网功能。

3:08 CRV-ETH被攻击,链上CRV最低跌到0.08左右,但由于AAVE的价格取自Chainlink,后者并没把异常价格体现,使得Curve创始人Michael Egorov在AAVE的仓位未被清算。

据 @ Super4DeFi,在此期间有套利者以0.1ETH购买了600 alETH和用4 ETH购买了1200 alETH,Alchemix官方发布声明称alETH -ETH池子损失5000 ETH,当前alETH = 0.7ETH。OlympusDAO脱离fraxBP,将国库稳定币转换成1800玩枚DAI,存入DSR中,其余700万枚USDC准备也换为DAI。

7:26 派盾再次统计该安全事件损失已超5195万美元。

7:50 CRV/ETH Pool抢跑的Mev Bot部署者c0ffeebabe.eth向Curve Finance部署者返还了2,879.54 ETH,价值约539万美元。

9:37 韩国最大交易所Upbit发布公告称,由于Curve部分稳定币池被攻击,导致CRV波动性较大,现已暂停Curve(CRV)充值与提币服务。

其他影响

据defillama数据,Curve Finance TVL 24小时减少43.6%,目前为18.4亿美元;Convex Finance TVL 24小时减少48.5%,目前为149亿美元。

Aave以太坊v2版本已经禁用CRV借款功能(可能是为了防止交易者利用Curve漏洞事件恐慌,借币CRV恶意做空促使连环清算)。根据此前Aave治理通过的提案AIP-125,面对一些突发事件,协议可以禁止特定资产的借款功能。目前在Aave v2中有超过3亿枚CRV供应(约95%来自CRV创始人Michwill的供应),仅有约3500万枚CRV已借出。

当前Aave中诸如USDC、USDT和DAI等标的物存借贷APY发生显著上升,当前USDC存借贷APY仍超过20%,USDT超过25%。由于攻击Curve黑客(0xb1…c148)从中获利了价值460万美元的7,193,402 CRV,用户对于Curve创始人Michwill巨额CRV清算以及产生的连锁反应仍表担忧(链上CRV一度跌至$0.08,但Chainlink预言机未反馈在内,因而未触发清算)。

目前Michwill在Aave v2有293,020,675 CRV担保物(1.87亿美元)和59,674,100 USDT债务,清算线约$0.37;Fraxlend中有71,107,195 CRV担保物(4,4546万美元)和21,337,989 FRAX债务(2130万美元),清算线约$0.4;在Abracadabra中有63,404,437 CRV担保物(3,190万美元)和18,787,110 MIM债务,清算线约$0.39;Inverse中有25,128,033 CRV担保物(1,600万美元)和7,689,209 DOLA债务,清算线约$0.4。在近6小时,Michwill已陆续进行了部分债务的清偿。

慢雾@IM_23pds指出,Vyper官方文档推荐的实际上是一个有缺陷的版本;余弦指出,智能合约语言层的bug导致一些知名项目的重入锁防御失效,黑白帽黑客们及MEV Bots疯狂了,各种重入操纵及抢跑拿走资金。最怕的就是这种基础层漏洞,所幸这次不是Solidity,而是不那么流行的Vyper出问题。或更进一步,这不是EVM等等更基础层的问题。