CRV暴跌近20%!Curve穩定幣池遭駭起因、目前影響一次看
張詠晴
2023-07-31 13:00

以穩定幣交易聞名的去中心化交易平台 Curve Finance ,今日凌晨驚傳遭駭客攻擊穩定幣池。CoinMarketCap 數據顯示,被攻擊的消息一出,Curve 生態代幣 Curve DAO Token(CRV)幣價便由 0.73 美元,下跌到 0.5944 美元,截稿前回升到 0.6239 美元,近 24 小時內下跌 15.37%。

外媒 CoinDesk 警告, 被駭風波及 CRV 的下跌,可能連帶導致市場恐慌及借貸協議的清算風波,使價值超過 1 億美元的加密貨幣面臨風險,並進一步加劇混亂局面。

於 2020 年推出的 Curve Finance,是一家專注於提供高效、低滑點穩定幣兌換服務的去中心化交易所(DEX),擁有多個代幣交易池。

攻擊源頭:「重入鎖」功能故障

根據外媒 Decrypt 援引分散式金融安全公司Decurity的數據觀察,最初被攻擊的項目是 NFT 借貸平台 JPEG’d,約有價值 1100 萬美元的加密貨幣從JPEGd中被盜。不久之後,Alchemix 和 Metronome DAO 也分別被以類似方式,損失了 1,360 萬美元和 160 萬美元。

此後受影響的穩定礦池包含 alETH/ETH、msETH/ETH、pETH/ETH 和 CRV/ETH,多數都使用了一種名為「Vyper」的智慧合約導向 Python 系程式語言。

而 Vyper 本身也在官方推特承認,Vyper 0.2.15、0.2.16 和 0.3.0 版本容易受「重入鎖(Reentrancy locks)」故障的影響,該漏洞使得駭客能反覆從智慧合約中提取資金,Vyper 並呼籲任何使用這些版本的專案立即向其聯絡。

根據區塊鏈安全公司 Ancilia 對受影響合約的分析,共有 136 份合約使用了 Vyper 0.2.15 版本;98 份合約使用了 Vyper 0.2.16,226 份合約使用了Vyper 0.3.0。

受影響的項目有哪些?

縱然 Cureve Finance  團隊在推特強調,除了 alETH/ETH、msETH/ETH、pETH/ETH 和 CRV/ETH,其餘的礦池都是安全且不受影響,該漏洞仍在整個 DeFi 生態系統中引發了恐慌與後續效應,帶動了跨池交易浪潮和自發性的白帽救援行動。

根據鏈上安全機構派盾(PeckShield)統計,包括 Alchemix、JPEGd、MetronomeDAO、deBridge 和 Ellipsis 等,目前損失超過 5200 萬美元,官方現已出面說明攻擊發生原因,並持續評估整體損失中。