原文作者:Mlixy
原文來源:W3C DAO
DeFi 生態遭遇重大安全危機
7 月 30 日,一場嚴重的安全事件震動了 DeFi 生態。多個使用 Vyper 編寫的 DeFi 項目遭到了重入攻擊,導致超過 7000 萬美元的加密貨幣被竊取或轉移。
Vyper 是一種基於 Python 的智能合約語言,與 EVM 網絡兼容。當天,Vyper 團隊在 Twitter 上披露,其智能合約編譯器的最新版本(0.2.15 、 0.2.16 和 0.3.0)沒有正確實現防止重入攻擊的保護措施。
什麼是重入攻擊?
重入攻擊是一種惡意行為,攻擊者在智能合約的一個函數調用完成之前,反覆調用該函數,利用合約的邏輯來竊取資金或操縱數據。例如,如果一個合約在更新余額之前就發送資金給用戶,那麼攻擊者就可以多次調用該函數,從而獲得比實際餘額更多的資金。
哪些項目受到影響?
Curve Finance 是一個自動化做市商平台,專注於穩定幣和其他低波動性資產的交易。 Curve 的部分流動性池使用了 Vyper 編寫的智能合約,因此受到了該漏洞的影響。
據 MetaMask 開發者 Taylor Monahan 估計,Curve 的 CRV/ETH 池被盜走了價值約 2500 萬美元的資金。
此外,Alchemix 、 Metronome 、 JPEG 等其他使用 Curve 池機制的 DeFi 項目也遭到了類似的攻擊,損失了價值約 4500 萬美元的流動性。
事件影響
這些攻擊引發了社群對 Curve DAO 的 CRV 代幣價格波動和清算風險的擔憂。 CRV 是 Curve 平台上治理和獎勵代幣,在去中心化交易所上一度暴跌了 86%,從 $4.5 跌至 $0.6 。
然而,在鏈上數據顯示,攻擊者還沒有開始出售他們盜取的價值約 450 萬美元的 CRV,因此價格可能還會進一步下跌。
這次事件也重新引起了人們對 Curve 創始人 Michael Egorov 巨額借貸行為的關注。
Egorov 在 Aave 、 Fraxlend 、 Abracadabra 和 Inverse Finance 等頂級借貸協議上,使用了價值超過 1 億美元的 CRV 作為抵押物,借入了大量的穩定幣。
如果 CRV 的價格跌破清算線,Egorov 的倉位將被清算,這將對 Aave 和其他借貸協議造成巨大的壞帳損失,因為 CRV 的鏈上流動性不足以清算 Egorov 的倉位。
Egorov 在事件發生後,迅速償還了部分債務,並增加了抵押物,將他在 Aave 上的清算線降低到了 $0.37 。
DeFi 借貸平台 Aave 和其他協議為了防止 CRV 的價格波動導致連鎖清算,暫停了 CRV 的借款功能,並提高了借貸費用。
目前,在 Aave v2 中有超過 3 億枚 CRV 供應(約 95% 來自 Egorov 的供應),僅有約 3500 萬枚 CRV 已借出。當前,Aave 中諸如 USDC 、 USDT 和 DAI 等標的物的存借貸 APY 發生顯著上升,當前 USDC 存借貸 APY 仍超過 20%,USDT 超過 25% 。
白帽駭客和 MEV 機器人的作用
值得一提的是,並非所有的攻擊者都是惡意的。部分白帽駭客和 MEV 機器人將盜取的資金返還給了受影響的項目,以減輕他們的損失。
例如,CRV/ETH 池被攻擊後,一個 MEV 機器人部署者 c0ffeebabe.eth 向 Curve 部署者返還了價值約 539 萬美元的 2879.54 ETH 。另一個 MEV 機器人部署者也向 Alchemix 返還了價值約 1000 萬美元的 ETH 。
結論
Curve Vyper Bug 是一場嚴重的安全事件,影響了許多 DeFi 項目和用戶。它暴露了 Vyper 編譯器的缺陷,以及 Curve 平台和生態系統的脆弱性。它也提醒了我們,在 DeFi 領域,風險無處不在,需要謹慎投資和管理資產。
(以上內容獲合作夥伴 MarsBit 授權節錄及轉載,原文連結 | 出處:W3C DAO)
聲明:文章僅代表作者個人觀點意見,不代表區塊客觀點和立場,所有內容及觀點僅供參考,不構成投資建議。投資者應自行決策與交易,對投資者交易形成的直接間接損失作者及區塊客將不承擔任何責任。