DeFi 生態遭遇重大安全危機
7月30日,一場嚴重的安全事件震動了 DeFi 生態。多個使用 Vyper 編寫的 DeFi 項目遭到了重入攻擊,導致超過 7000 萬美元的加密貨幣被竊取或轉移。
Vyper 是一種基於 Python 的智慧合約語言,與 EVM 網路兼容。當天,Vyper 團隊在 Twitter 上披露,其智慧合約編譯器的最新版本(0.2.15、0.2.16 和 0.3.0)沒有正確實現防止重入攻擊的保護措施。
什麼是重入攻擊?
重入攻擊是一種惡意行為,攻擊者在智慧合約的一個函數調用完成之前,反複調用該函數,利用合約的邏輯來竊取資金或操縱數據。例如,如果一個合約在更新餘額之前就發送資金給用戶,那麼攻擊者就可以多次調用該函數,從而獲得比實際餘額更多的資金。
哪些項目受到影響?
Curve Finance 是一個自動化做市商平台,專注於穩定幣和其他低波動性資產的交易。Curve 的部分流動性池使用了 Vyper 編寫的智慧合約,因此受到了該漏洞的影響。
據MetaMask開發者Taylor Monahan 估計,Curve 的 CRV/ETH 池被盜走了價值約 2500 萬美元的資金 。
此外,Alchemix、Metronome、JPEG等其他使用 Curve 池機製的 DeFi 項目也遭到了類似的攻擊,損失了價值約 4500 萬美元的流動性 。
事件影響
這些攻擊引發了社群對 Curve DAO 的 CRV 代幣價格波動和清算風險的擔憂。CRV 是 Curve 平台上治理和獎勵代幣,在去中心化交易所上一度暴跌了86%,從 $4.5 跌至 $0.6。
然而,在鏈上數據顯示,攻擊者還沒有開始出售他們盜取的價值約 450 萬美元的 CRV,因此價格可能還會進一步下跌。
這次事件也重新引起了人們對 Curve 創始人 Michael Egorov 巨額借貸行為的關注。
Egorov 在 Aave、Fraxlend、Abracadabra 和 Inverse Finance 等頂級借貸協議上,使用了價值超過 1 億美元的 CRV 作為抵押物,借入了大量的穩定幣 。
如果 CRV 的價格跌破清算線,Egorov 的倉位將被清算,這將對 Aave 和其他借貸協議造成巨大的壞帳損失,因為 CRV 的鏈上流動性不足以清算 Egorov 的倉位。
Egorov 在事件發生後,迅速償還了部分債務,並增加了抵押物,將他在 Aave 上的清算線降低到了 $0.37。
DeFi 借貸平台 Aave 和其他協議為了防止 CRV 的價格波動導致連鎖清算,暫停了 CRV 的借款功能,並提高了借貸費用 。
目前,在 Aave v2 中有超過 3 億枚 CRV 供應(約 95% 來自 Egorov 的供應),僅有約 3500 萬枚 CRV 已借出。當前,Aave 中諸如 USDC、USDT 和 DAI 等標的物的存借貸 APY 發生顯著上升,當前 USDC 存借貸 APY 仍超過 20%,USDT 超過 25%。
白帽駭客和 MEV 機器人的作用
值得一提的是,並非所有的攻擊者都是惡意的。部分白帽駭客和 MEV 機器人將盜取的資金返還給了受影響的項目,以減輕他們的損失 。
例如,CRV/ETH 池被攻擊後,一個 MEV 機器人部署者 c0ffeebabe.eth 向 Curve 部署者,返還了價值約 539 萬美元的 2879.54 ETH。另一個 MEV 機器人部署者,也向 Alchemix 返還了價值約 1000 萬美元的 ETH。
結論
Curve Vyper Bug 是一場嚴重的安全事件,影響了許多 DeFi 項目和用戶。它暴露了 Vyper 編譯器的缺陷,以及 Curve 平台和生態系統的脆弱性。它也提醒了我們,在 DeFi 領域,風險無處不在,需要謹慎投資和管理資產。