一文读懂Curve被攻击事件始末，已造成哪些影响及后续如何发展？

昨天吸引行业人士关注的事件是Curve被攻击一事。事件起源于以太坊智能合约编程语言Vyper被攻击，在7月31日凌晨Vyper 0.2.15、0.2.16 和0.3.0版本的防重入锁失效。恶意行为者利用重入攻击反复重新签署合约，导致未经授权的操作或资金被盗。

而Curve项目是由Vyper的几个特定版本开发（Uniswap用Solidity开发），其Curve Finance 在内的一些重要项目遭受了攻击。下面是Curve遭受攻击的前后12小时过程：

据悉，Curve 生态中的 4 个资金池CRV/ETH、alETH/ETH、msETH/ETH、pETH/ETH被攻击，超过 4500 万美元的流动性已从借贷协议 Alchemix、合成资产 Metronome 、NFT 借贷平台 JPEG'd 的池中中流失，近 2500 万美元从 CRV/ETH 池中流出。另一个可能受影响的池是Arbitrum Tricrypto池，但审计人员和Vyper开发人员暂未找到可攻击漏洞。初步估计Curve被利用的金额高达 7000 万美元。其中一部分资金由白帽黑客和 MEV 机器人保管，可能会被追回。

Curve是以太坊上的去中心化流动池交易所，从事稳定币与挂钩资产的互换和交易。无许可性、低门槛、可组合、流动性的低成本和管理方案的灵活性被看作是Curve的核心价值。被攻击后的CRV 价格触底至 0.583 美元，但Curve仍持有 700 万枚 CRV（约 450 万美元）

Curve被攻击后带来的反应

Curve被攻击后，创始人 Michael Egorov 开始了链上抵押贷款以补全损失金额。Michael在众多借贷协议上抵押自己的 CRV 获得了大量贷款，其中最大一笔贷款来自 Aave 。根据加密研究员0xLoki统计， Michael Egorov目前抵押2.92亿CRV（1.81亿美元），借出1.1亿美元，主要分布于：1.AAVE上抵押了1.9亿CRV，借了6500万美元，清算价0.37美元；2.FRAXlend上抵押4600万CRV，借了2100万FRAX，清算价0.4美元；3.Abracadabr存入4000万CRV，借出1800万美元，清算价0.39美元；4.Inverse上存入1600万CRV，借出700万美元，清算价0.4美元。截止发稿时，dollar.eth 监测显示，Curve 创始人 Michael Egorov 到目前为止已从 Fraxlend 还款并取回了 750 万枚 CRV，并将其发送到一个新的 EOA 地址，然后从未知地址中接收 USDT，因此可能是一笔场外交易，「按照 250 万枚 CRV/100 万 USDT 计算，场外价格应该是 0.4 美元」。创始人 Michael Egorov 还在今天部署了一个由 crvUSD 和 Fraxlend 的 CRV/FRAX LP 代币组成的Curve 2池并向其中注入了 10 万美元的 CRV 激励。该措施被看作是一种试图激励流动性进入借贷市场以降低利用率并减少债务失控风险的尝试。在推出后的 4 小时内，该池已吸引了 200 万美元的流动性，并将利用率降低至 89%。

据Bankless表示Curve 的 CRV/ETH 池中的流动性已经消失。一旦产生坏账，借贷协议必须动用保险资金。例如，Aave 会从其安全模块出售 AAVE 代币以弥补任何短缺，但出售将减少剩余抵押品的价值。

另外，若 Curve 和其他链上 DEX 的流动性持续减少，价格将变得越来越不稳定。

关于【一文读懂Curve被攻击事件始末，已造成哪些影响及后续如何发展？】的延伸阅读

• Base 链 DEX —— Aerodrome VS Curve

  Velodrome是一个成功的DeFi案例，通过改进veCRV模板，实现了更优越的DEX模式。与Curve不同，Velodrome的流动性提供者不收取交易费用，而是通过VELO代币排放获得激励。通过仪表投票，veCRV/veVELO持有者决定每周发行的CRV/VELO代币分配比例。Velodrome避免了其他协议吞噬供应的可能性，并提供了类似于Convex的功能，但更简单。它正在成为超级链的基础流动性中心，可能会改变游戏规则。Velodrome已在Optimism上取得巨大成功，其产品套件包括收取和分配费用的DEX部分。

• 流动性提供者的博弈，Curve债务难题何解？

  当场外交易的CRV变得可流动时，Curve将不得不经历另一次压力测试。

市场如何观望？

一方面贷款机构正竞相从货币市场协议中提取资金。Aave 的 USDT 池利用率超过 50%，借款利率飙升至 91%，给 Michael Egorov 的头寸带来巨大压力：如果利率不下降，几天之内就会被清算。Curve被攻击带来的负面反应可能会让DeFi面临风险蔓延危机。另一方面，行业内人士也有乐观的消息。据行业内从业人士的消息来源，“Michael已经搞定了5500万美金，足够清掉大部分临近清算的债务，风险基本解除，可以放心睡觉了”。该从业者表示5500万美金是一个凝聚了多方利益共同体的力量，后面Curve会公布。另据Twitter@区块先生表示：各大項目都需要 veCRV，其中就包括 Binance 的 $BETH 和 $stUSDT/ $USDD 。还有 $stETH ， $STBT 和 $FRAX。

DeFi走向？

谈DeFi走向未免过于宏观。虽然此次针对智能合约语言层的攻击在DeFi领域很少见，但以往的DeFi世界中，像FTX的崩溃、加密友好银行的关门、Luna事件等也都在DeFi领域发生过。因此，这次事件从被攻击的编程语言角度来看，那就是区块链的安全程度还是太低了。

Vyper作为第二受欢迎的智能合约编程语言，和 Solidity 一样都是一种面向智能合约的编程语言，可编译为以太坊虚拟机（EVM）的字节代码运行在 EVM 上。

无论它是基于Python 开发的特性、将局部变量存储在内存中而不是堆栈上，还是提供更多内置函数，对Curve而言，它都应当对基础的编程语言进行风险考核（Curve 合约较为复杂，Vyper 使得这些复杂性变得更易于管理，并进一步节省 Gas）。作为知名的DeFi项目，项目方应预判到攻击事件带来的后果。

结语

Curve被攻击事件带来的后续反应还在进行中，其后续的进展可保持关注以了解DeFi这个全新领域。

免责声明：本文仅代表作者个人观点，不代表链观CHAINLOOK立场，不承担法律责任。文章及观点也不构成投资意见。请用户理性看待市场风险，以及遵守所在国家和地区的相关法律法规。
图文来源：flumen，如有侵权请联系删除。转载或引用请注明文章出处！

标签：CurveDeFi