原文作者:Mlixy
原文來源:W3C DAO
DeFi 生態遭遇重大安全危機
7月30日,一場嚴重的安全事件震動了DeFi 生態。多個使用Vyper 編寫的DeFi 項目遭到了重入攻擊,導致超過7000 萬美元的加密貨幣被竊取或轉移。
Vyper 是一種基於Python 的智能合約語言,與EVM 網絡兼容。當天,Vyper 團隊在Twitter 上披露,其智能合約編譯器的最新版本(0.2.15、0.2.16 和0.3.0)沒有正確實現防止重入攻擊的保護措施。
什麼是重入攻擊?
重入攻擊是一種惡意行為,攻擊者在智能合約的一個函數調用完成之前,反覆調用該函數,利用合約的邏輯來竊取資金或操縱數據。例如,如果一個合約在更新余額之前就發送資金給用戶,那麼攻擊者就可以多次調用該函數,從而獲得比實際餘額更多的資金。
哪些項目受到影響?
Curve Finance 是一個自動化做市商平台,專注於穩定幣和其他低波動性資產的交易。Curve 的部分流動性池使用了Vyper 編寫的智能合約,因此受到了該漏洞的影響。
據MetaMask開發者Taylor Monahan 估計,Curve 的CRV/ETH 池被盜走了價值約2500 萬美元的資金。
此外,Alchemix、Metronome、JPEG等其他使用Curve 池機制的DeFi 項目也遭到了類似的攻擊,損失了價值約4500 萬美元的流動性。
事件影響
這些攻擊引發了社群對Curve DAO 的CRV 代幣價格波動和清算風險的擔憂。CRV 是Curve 平台上治理和獎勵代幣,在去中心化交易所上一度暴跌了86%,從$4.5 跌至$0.6。
然而,在鏈上數據顯示,攻擊者還沒有開始出售他們盜取的價值約450 萬美元的CRV,因此價格可能還會進一步下跌。
這次事件也重新引起了人們對Curve 創始人Michael Egorov 巨額借貸行為的關注。
Egorov 在Aave、Fraxlend、Abracadabra 和Inverse Finance 等頂級借貸協議上,使用了價值超過1 億美元的CRV 作為抵押物,借入了大量的穩定幣。
如果CRV 的價格跌破清算線,Egorov 的倉位將被清算,這將對Aave 和其他借貸協議造成巨大的壞帳損失,因為CRV 的鏈上流動性不足以清算Egorov 的倉位。
Egorov 在事件發生後,迅速償還了部分債務,並增加了抵押物,將他在Aave 上的清算線降低到了$0.37。
DeFi 借貸平台Aave 和其他協議為了防止CRV 的價格波動導致連鎖清算,暫停了CRV 的借款功能,並提高了借貸費用。
目前,在Aave v2 中有超過3 億枚CRV 供應(約95% 來自Egorov 的供應),僅有約3500 萬枚CRV 已借出。當前,Aave 中諸如USDC、USDT 和DAI 等標的物的存借貸APY 發生顯著上升,當前USDC 存借貸APY 仍超過20%,USDT 超過25%。
白帽駭客和MEV 機器人的作用
值得一提的是,並非所有的攻擊者都是惡意的。部分白帽駭客和MEV 機器人將盜取的資金返還給了受影響的項目,以減輕他們的損失。
例如,CRV/ETH 池被攻擊後,一個MEV 機器人部署者c0ffeebabe.eth 向Curve 部署者返還了價值約539 萬美元的2879.54 ETH。另一個MEV 機器人部署者也向Alchemix 返還了價值約1000 萬美元的ETH。
結論
Curve Vyper Bug 是一場嚴重的安全事件,影響了許多DeFi 項目和用戶。它暴露了Vyper 編譯器的缺陷,以及Curve 平台和生態系統的脆弱性。它也提醒了我們,在DeFi 領域,風險無處不在,需要謹慎投資和管理資產。
(以上內容獲合作夥伴 MarsBit 授權節錄及轉載,原文連結 | 出處:W3C DAO)
聲明:文章僅代表作者個人觀點意見,不代表區塊客觀點和立場,所有內容及觀點僅供參考,不構成投資建議。投資者應自行決策與交易,對投資者交易形成的直接間接損失作者及區塊客將不承擔任何責任。
