风险提示:央行等十部委发布《关于进一步防范和处置虚拟货币交易炒作风险的通知》, 请读者提高风险意识。

一夜蒸发超7000万美元,Curve遭遇危机,一文梳理Vyper故障引发的连环攻击事件

Vyper 是一种基于 Python 的智能合约语言,与 EVM 网络兼容。

Mlixy
Mlixy
热度 ...

原文作者:Mlixy

原文来源:W3C DAO

DeFi 生态遭遇重大安全危机

7月30日,一场严重的安全事件震动了 DeFi 生态。多个使用 Vyper 编写的 DeFi 项目遭到了重入攻击,导致超过 7000 万美元的加密货币被窃取或转移。

Vyper 是一种基于 Python 的智能合约语言,与 EVM 网络兼容。当天,Vyper 团队在 Twitter 上披露,其智能合约编译器的最新版本(0.2.15、0.2.16 和 0.3.0)没有正确实现防止重入攻击的保护措施。

什么是重入攻击?

重入攻击是一种恶意行为,攻击者在智能合约的一个函数调用完成之前,反复调用该函数,利用合约的逻辑来窃取资金或操纵数据。例如,如果一个合约在更新余额之前就发送资金给用户,那么攻击者就可以多次调用该函数,从而获得比实际余额更多的资金。

哪些项目受到影响?

Curve Finance 是一个自动化做市商平台,专注于稳定币和其他低波动性资产的交易。Curve 的部分流动性池使用了 Vyper 编写的智能合约,因此受到了该漏洞的影响。

Curve

据MetaMask开发者Taylor Monahan 估计,Curve 的 CRV/ETH 池被盗走了价值约 2500 万美元的资金 。

此外,Alchemix、Metronome、JPEG等其他使用 Curve 池机制的 DeFi 项目也遭到了类似的攻击,损失了价值约 4500 万美元的流动性 。

事件影响

这些攻击引发了社区对 Curve DAO 的 CRV 代币价格波动和清算风险的担忧。CRV 是 Curve 平台上治理和奖励代币,在去中心化交易所上一度暴跌了86%,从 $4.5 跌至 $0.6。

然而,在链上数据显示,攻击者还没有开始出售他们盗取的价值约 450 万美元的 CRV,因此价格可能还会进一步下跌。

Curve

关于【一夜蒸发超7000万美元,Curve遭遇危机,一文梳理Vyper故障引发的连环攻击事件】的延伸阅读

  • Base 链 DEX —— Aerodrome VS Curve

    Velodrome是一个成功的DeFi案例,通过改进veCRV模板,实现了更优越的DEX模式。与Curve不同,Velodrome的流动性提供者不收取交易费用,而是通过VELO代币排放获得激励。通过仪表投票,veCRV/veVELO持有者决定每周发行的CRV/VELO代币分配比例。Velodrome避免了其他协议吞噬供应的可能性,并提供了类似于Convex的功能,但更简单。它正在成为超级链的基础流动性中心,可能会改变游戏规则。Velodrome已在Optimism上取得巨大成功,其产品套件包括收取和分配费用的DEX部分。

  • 流动性提供者的博弈,Curve债务难题何解?

    当场外交易的CRV变得可流动时,Curve将不得不经历另一次压力测试。

这次事件也重新引起了人们对 Curve 创始人 Michael Egorov 巨额借贷行为的关注。

Egorov 在 Aave、Fraxlend、Abracadabra 和 Inverse Finance 等顶级借贷协议上,使用了价值超过 1 亿美元的 CRV 作为抵押物,借入了大量的稳定币 。

如果 CRV 的价格跌破清算线,Egorov 的仓位将被清算,这将对 Aave 和其他借贷协议造成巨大的坏账损失,因为 CRV 的链上流动性不足以清算 Egorov 的仓位。

Egorov 在事件发生后,迅速偿还了部分债务,并增加了抵押物,将他在 Aave 上的清算线降低到了 $0.37。

Curve

DeFi 借贷平台 Aave 和其他协议为了防止 CRV 的价格波动导致连锁清算,暂停了 CRV 的借款功能,并提高了借贷费用 。

目前,在 Aave v2 中有超过 3 亿枚 CRV 供应(约 95% 来自 Egorov 的供应),仅有约 3500 万枚 CRV 已借出。当前,Aave 中诸如 USDC、USDT 和 DAI 等标的物的存借贷 APY 发生显著上升,当前 USDC 存借贷 APY 仍超过 20%,USDT 超过 25%。

白帽黑客和 MEV 机器人的作用

值得一提的是,并非所有的攻击者都是恶意的。部分白帽黑客和 MEV 机器人将盗取的资金返还给了受影响的项目,以减轻他们的损失 。

例如,CRV/ETH 池被攻击后,一个 MEV 机器人部署者 c0ffeebabe.eth 向 Curve 部署者返还了价值约 539 万美元的 2879.54 ETH。另一个 MEV 机器人部署者也向 Alchemix 返还了价值约 1000 万美元的 ETH。

结论

Curve Vyper Bug 是一场严重的安全事件,影响了许多 DeFi 项目和用户。它暴露了 Vyper 编译器的缺陷,以及 Curve 平台和生态系统的脆弱性。它也提醒了我们,在 DeFi 领域,风险无处不在,需要谨慎投资和管理资产。


免责声明:本文仅代表作者个人观点,不代表链观CHAINLOOK立场,不承担法律责任。文章及观点也不构成投资意见。请用户理性看待市场风险,以及遵守所在国家和地区的相关法律法规。
图文来源:Mlixy,如有侵权请联系删除。转载或引用请注明文章出处!

标签:

分享至
https://www.chainlook.cn/toutiao/1691120028.html

下一篇:

长推:Chainlink和借贷平台都不存在「宕机」或「主动介入」报价

Chainlink有18个报价人,至少需要11个报价人给出有效报价,然后通过算法得出有效价格。

免责声明:
链观CHAINLOOK作为区块链技术应用与Web3行业研究的智库媒体,旨在为中国区块链专家、学者们提供最新的行业资讯信息与数据样本,用于区块链技术研究与创新。本站所发布的文章仅代表作者的个人观点,不代表链观CHAINLOOK官方立场,本站所发布的区块链行业研究报告与数据分析成果是通过人工智能算法对数据内容进行分析与归纳生成,不代表任何投资暗示与建议,链观CHAINLOOK不承担法律责任。

风险提示:
虚拟货币不具有法定货币等同的法律地位,参与虚拟货币投资交易存在法律风险,链观CHAINLOOK坚决反对各类代币炒作,请读者提高风险意识,理性看待区块链技术应用及市场风险。

© 链观CHAINLOOK All Rights Reserved. 京ICP备18054193号-5