Curve-Vyper 漏洞利用：目前为止的完整故事

Curve Finance 的资金池在 7 月 30 日遭受了重入攻击，DeFi 生态系统受到了冲击。Cointelegraph 汇总了本周的事件。

后续

去中心化金融（DeFi）生态系统经历了充满挑战的一周，一场巨大的安全事件导致超过 6100 万美元从 Curve Finance 的资金池中被盗，使多个协议面临更广泛的蔓延风险。

此次攻击暴露了 DeFi 项目中的漏洞，并引发了过去几天为追回被盗资金所做的努力。

当社区应对这次漏洞利用的后果时，Cointelegraph 汇总了本周的事件，展示了自 7 月 30 日黑客攻击以来发生的事情的时间表。

黑客攻击：由于重入漏洞，Curve Finance 资金池被攻击，损失超过 6100 万美元

7 月 30 日，Curve Finance 上使用 Vyper 编程语言的几个稳定币池遭到攻击，损失超过 6100 万美元（总损失最初估计为 4700 万美元）。该漏洞存在于 Vyper 的 0.2.15、0.2.16 和 0.3.0 版本中。

几个 DeFi 项目受到了攻击的影响。去中心化交易所 (DEX) Ellipsis 报告说，少量带有 BNB 的稳定币池在使用旧的 Vyper 编译器时被攻击。Alchemix 的 alETH-ETH 也因攻击损失了 1360 万美元的流出，JPEGd 的 pETH-ETH 池损失了 1140 万美元，Metronome 的 sETH-ETH 池损失了 160 万美元。Curve Finance 首席执行官 Michael Egorov 也证实，价值超过 2200 万美元的 3200 万个 Curve DAO (CRV) 代币已从交换池中被盗。

Curve 的 Michael Egorov 于 7 月 30 日确认了 3200 万个 Curve DAO 代币被盗。来源：Telegram/LobsterDAO

由于相同的漏洞，BNB 智能链（BSC）也成为了模仿攻击的受害者，BSC 上大约有价值 73,000 美元的加密货币在三次攻击中被盗。

自从漏洞利用的消息传出以来，白帽和黑帽黑客一直在链上展开激烈的较量，试图阻止彼此的漏洞利用尝试或追回资金的努力。

初步调查发现，某些版本的 Vyper 编译器未正确实现重入保护，该保护通过锁定合约来防止同时执行多个函数。

影响：Vyper 漏洞使 DeFi 生态系统面临压力测试；CRV 价格暴跌

在接下来的几天里，这次安全事件 使 DeFi 协议面临压力测试，引发了人们对此次漏洞利用对加密生态系统影响的担忧——特别是，因为该漏洞可能会使所有带有 Wrapped Ether (WETH) 的资金池面临攻击风险。

Vyper 是一种为以太坊虚拟机设计的合约编程语言。它被认为是使用最广泛的 Web3 编程语言之一，这意味着其三个版本中的错误可能会威胁到其他几个协议。

此次漏洞利用还 导致了有史以来最大的 584.05 以太坊最大可提取价值 (MEV) 奖励区块之一。据以太坊核心开发人员“eric.eth”称，该机器人注意到 mempool 中即将发生的黑客攻击，重现了该交易并抢先执行了它。“为此，他们向区块生产者支付了大量 ETH 以排在最前面，”他解释说。MEV 机器人可以看到待处理的清算交易，并抢先执行它们以首先以折扣价购买被清算的资产。

> 今天产生了以太坊历史上一些最大的 MEV 奖励区块。
>
> Slot 6,992,273: 584 ETH
>
> Slot 6,993,342: 345 ETH
>
> Slot 6,992,050: 247 ETH
>
> Slot 6,993,346: 51 ETH
>
> — eric.eth (@econoar) [2023 年 7 月 30 日](https://twitter.com/econoar/status/1685778343697018881?ref_src=twsrc%5Etfw)

Curve 的 CEO 急忙偿还抵押贷款

其他地方的威胁也可能在 DeFi 中引起连锁反应。Curve Finance 创始人 Michael Egorov 拥有大约 1 亿美元的贷款，这些贷款由该协议原生代币 CRV 流通供应量的 47% 支持。

然而，在黑客攻击之后，CRV 价格下跌了近 30%，由于担心 Egorov 的抵押贷款将被清算，跌至 0.48 美元的低点。

为了减少他的债务头寸，Egorov 以总计 1580 万美元的价格将 3925 万个 CRV 代币出售 给包括 Justin Sun、Machi Big Brother 和 DWF Labs 在内的几位知名的 DeFi 投资者。买家以每个代币 0.40 美元的价格购买了 CRV，比当时的市场价格低 25%。此外，Egorov 还对 Aave 和 Frax Finance 上的两笔贷款进行了部分偿还。

CEX 价格源阻止 Curve 价格崩盘

由于几个资金池的大量流失，CRV 代币价格在 DeFi 市场上暴跌；然而，它最终被中心化交易所 (CEX) 价格源所拯救。CRV 价格在 DEX 上跌至 0.086 美元，但在 CEX 上以 0.60 美元的价格交易，从而阻止了该代币的价格跌至零。

具有讽刺意味的是，币安首席执行官赵长鹏注意到了这一事件，他对最终是 CEX 价格源拯救了 DeFi 协议这一事实感到窃笑。

另外，在对不确定环境做出反应时，Curve 的原生稳定币 crvUSD 在 8 月 3 日短暂脱锚。这种算法稳定币下跌了 0.35%，然后才恢复与美元的Hook。最近推出的 crvUSD 使用一种称为 PegKeeper 算法的机制来维持其Hook，该算法确保 crvUSD 价值得到抵押品的适当支持，同时平衡供需。

DeFi 社区：在漏洞利用期间，道德黑客为 Curve Finance 追回 540 万美元

在危机期间，DeFi 社区站在 Curve Finance 一边。7 月 31 日，一位白帽黑客 设法从一名攻击者那里追回 大约 2,879 以太坊 ，价值约 540 万美元，并将 ETH 返还给 Curve Finance。几个小时后，另一位道德黑客查获了近 3,000 ETH，并将 ETH 返还给 Curve 的部署者地址。

由于担心围绕 Egorov 贷款的清算，火币联合创始人 Jun Du 从 Curve 的 CEO 那里购买了 1000 万个 CRV，价格为 400 万美元。此外，Aave Chan 创始人 Marc Zeller 提议 Aave Treasury 从该协议购买价值 200 万美元的 CRV 代币。根据该提案，此次收购将表明 DeFi 参与者支持生态系统的健康。

> crvUSD 怎么样？它的价格如何应对冲击事件，它会脱锚吗？
>
> 近几天的事件在某种程度上感觉类似于 SVB/USDC 的情况。然而，crvUSD 仅下跌了 0.35%，目前比Hook低 0.1% [pic.twitter.com/HaMfbkiFSR](https://t.co/HaMfbkiFSR)
>
> — Curve Finance (@CurveFinance) [2023 年 8 月 3 日](https://twitter.com/CurveFinance/status/1687053161863811073?ref_src=twsrc%5Etfw)

跨链借贷平台 Abracadabra Money 也 提议提高其未偿还贷款的利率 200%，以管理与其 CRV 风险敞口相关的风险。

资金返还：Curve、Metronome 和 Alchemix 提供 10% 的漏洞赏金；黑客接受了

8 月 3 日，Curve、Metronome 和 Alchemix 联合宣布了一项倡议，旨在追回最近 Curve 资金池漏洞利用中被盗的资金。这些协议提供了被查获资金的 10% 作为赏金，敦促对此次漏洞利用负责的人站出来并返还剩余的 90%，这将使赏金接近 700 万美元。

该提议保证不会采取进一步的法律行动或执法部门的参与。“我们希望以文明的方式解决这个问题，”这些协议写信给黑客。

在不到 24 小时的时间内，8 月 4 日，价值数百万美元的漏洞利用的原始攻击者显然接受了赏金提议，并开始返还几天前被盗的资金。黑客向 Alchemix Finance 团队发回了 4,820.55 Alchemix ETH (alETH)，价值约 8,889,118 美元，以及向 Curve Finance 团队发回了 1 ETH，价值约 1,844 美元。几个小时后，在 8 月 5 日，他们完成了将所有被盗资金返还给 Alchemix 和 JPEGd。

攻击者还发布了一条消息，该消息似乎是针对 Alchemix 和 Curve 团队的，声称愿意返还资金，但仅仅是因为该人不想“毁掉”所涉及的项目，而不是因为攻击者被抓住了。

攻击者于 8 月 4 日发送给协议的消息。来源：Etherscan

探索更多类似的文章

订阅 Finance Redefined 新闻通讯

每周的工具包，分解最新的 DeFi 发展，提供敏锐的分析，并发现新的金融机会，以帮助你自信地做出明智的决策。每周五送达

通过订阅，你同意我们的 服务条款和隐私政策

• 原文链接： cointelegraph.com/news/c...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～