Curve 遭黑客攻击 损失超五千万美元 多个 DeFi 项目被波及

吴说获悉，以太坊编程语言 Vyper 凌晨 12.44 发推表示，Vyper 0.2.15、0.2.16 和 0.3.0 版本的递归锁失效。Curve 官方推特 12.45 发文表示，由于递归锁出现故障，许多使用 Vyper 0.2.15 的稳定币池 (alETH/msETH/pETH) 遭到攻击，其他池是安全的。据派盾监测，受此影响，Alchemix、JPEG'd、MetronomeDAO、deBridge 和 Ellipsis 累计损失超 2676 万美元。

据 @Super4DeFi，有套利者以 0.1ETH 购买了 600 alETH和用 4 ETH 购买了 1200 alETH，Alchemix 官方发布声明称 alETH -ETH 池子损失 5000 ETH，当前 alETH = 0.7ETH。OlympusDAO 脱离 fraxBP，将国库稳定币转换成 1800 玩枚 DAI，存入 DSR 中，其余 700 万枚 USDC 准备也换为 DAI。

据 @icuke 整理的时间线，
7月30日 21:10 pETH-ETH 被攻击；
7月30日 22:50 msETH-ETH 被攻击；
7月30日 23:34 alETH-ETH 被攻击;
7月31日 03:08 CRV-ETH 被攻击。
链上 CRV最低跌到0.08左右，但由于 AAVE 的价格取自 Chainlink，后者并没把异常价格体现，使得 Curve 创始人 Michael Egorov 在 AAVE 的仓位未被清算。

据安全公司 BlockSec 估计，截至目前与此次 Curve 安全事件相关的总资产外流已超过4100 万美元。某获利超 1400 万美元的攻击者资金来自币安，疑似白帽黑客。

据 defillama 数据，Curve Finance TVL 24 小时减少 40.53%，目前为 19.4 亿美元；Convex Finance TVL 24 小时减少 46.8%，目前为 15.5 亿美元。

据派盾 7：26 统计，该安全事件损失已超 5195 万美元。

@IM_23pds 指出，Vyper 官方文档推荐的实际上是一个有缺陷的版本。

吴说获悉，韩国最大交易所 Upbit 发布公告称，由于 Curve 部分稳定币池被攻击，导致 CRV 波动性较大，现已暂停 Curve（CRV）充值与提币服务。

吴说获悉，当前 Aave 中诸如 USDC、USDT 和 DAI 等标的物存借贷 APY 发生显著上升，当前 USDC 存借贷 APY 仍超过 20%，USDT 超过 25%。由于攻击 Curve 黑客（0xb1...c148）从中获利了价值 460 万美元的 7,193,402 CRV，用户对于 Curve 创始人 michwill 巨额 CRV 清算以及产生的连锁反应仍表担忧（链上 CRV一度跌至 $0.08，但 Chainlink 预言机未反馈在内，因而未触发清算）。目前 michwill 在 Aave v2 有 293,020,675 CRV 担保物（1.87 亿美元）和 59,674,100 USDT 债务，清算线约 $0.37；Fraxlend 中有 71,107,195 CRV 担保物（4,4546 万美元）和 21,337,989 FRAX 债务（2130 万美元），清算线约 $0.4；在 Abracadabra 中有 63,404,437 CRV 担保物（3,190 万美元）和 18,787,110 MIM 债务，清算线约 $0.39；Inverse 中有 25,128,033 CRV 担保物（1,600 万美元）和 7,689,209 DOLA 债务，清算线约 $0.4。在近 6 小时，michwill 已陆续进行了部分债务的清偿。H/T：@Loki_Zeng

吴说获悉，Aave 以太坊 v2 版本已经禁用 CRV 借款功能（可能是为了防止交易者利用 Curve 漏洞事件恐慌，借币 CRV 恶意做空促使连环清算）。根据此前 Aave 治理通过的提案 AIP-125，面对一些突发事件，协议可以禁止特定资产的借款功能。目前在 Aave v2 中有超过 3 亿枚 CRV 供应（约 95% 来自 CRV 创始人 Michwill 的供应），仅有约 3500 万枚 CRV 已借出。

吴说获悉，CRV/ETH Pool 抢跑的 Mev Bot 部署者 c0ffeebabe.eth 已在两小时前向 Curve Finance 部署者返还了 2,879.54 ETH，价值约 539 万美元。

吴说获悉，以太坊核心开发者 eric.eth 表示，本日已产生了 Ethereum 历史上最大的 MEV 区块奖励，其中 Slot 6,992,273 获得 584 ETH，Slot 6,993,342 获得 345 ETH，Slot 6,992,050 获得 247 ETH，Slot 6,993,346 获得 51 ETH。这是源于 Curve 漏洞攻击，一个 MEV Bot 注意到 mempool 中有黑客入侵，复制 Tx 并向矿工支付了大量的 ETH 以实现抢跑。

吴说获悉，比特大陆联合创始人吴忌寒表示，在即将到来的 RWA （现实资产代币化）浪潮中，Curve 是最重要的基础设施之一。我已经逢低买入（BTFD），但不作为财务建议。

吴说获悉，Curve Finance 表示，由于 Vyper 0.2.15-0.3.0 版本中出现问题，导致 CRV/ETH、alETH/ETH、msETH/ETH 和 Peth/eth 被黑客攻击。另外一个可能受到影响的是 Arbitrum tricrypto pool，尽管审计员和 Vyper 开发者没有找到黑客可能从中获利的漏洞，但仍建议用户从 Arbitrum tricrypto pool 中撤出流动性。

吴说获悉，Vyper 贡献者 @fubuloubu 表示，Curve 事件的黑客深入挖掘了 Vyper 的发布历史来寻找可利用漏洞，这需要几周到几个月的时间。并认为有理由怀疑国家资助的黑客可能参与。目前只有两个编译器最佳，Vyper 代码库更小更易阅读，且变动较少，solidity 应用更广；其次，编译器并没有想象中的经过多次审计，大多数都会进行重大且频繁的更改，不利于审计。这些都指向激励问题，没有人有动力去寻找漏洞，尤其是过去发布的版本。须团结起来共同解决这些公共产品问题。

吴说获悉，据 CMC 数据，由于暂停了 CRV 充提，韩国两大交易所 Upbit 和 Bithumb 的 CRV 价格均出现明显溢价，目前 Bithumb CRV 价格约 $4.73，溢价率约 640%；Upbit CRV 价格约 $0.81，仍比其他市场高出约 26%。目前 Bithumb 和 Upbit 分别是 CRV 现货交易量的第三和第四名，二者近 24 小时累积交易量约 6 千万美元。

吴说获悉，AAVE 创始人 Stani 讨论 Curve 黑客事件带来的教训：这意味着 DeFi 风险涉及整个底层堆栈，编程语言，以及以太坊虚拟机（EVM）等方面。特别是在未来使用定制的 EVM 和应用链的情况下，这种风险变得更加紧迫。虽然损害有限并且似乎是 Curve 社区能够处理的，但从积极的方面来看，许多漏洞都是抢先的，MEV 机器人也将资金返还给 Curve。更重要的是，公众能够实时监控所有行为并参与白黑客攻击。这是因为 DeFi 所带来的透明度。如果类似的事情发生在 TradFi 或 CeFi 中，公众可能会在几年后知道，或者永远不会知道。

阅读原文