超5000万美元蒸发,Curve流动性池攻击事件全解读
作为一家专注于低滑点的稳定币AMM,Curve Finance在DeFi领域一直以“稳定”著称,但现在情况似乎发生了变化。
Curve出事了:流动性池攻击事件梳理
7月30日晚间,一则“不太起眼”的新闻出现,NFT借贷平台JPEG’d称其在Curve Finance上的pETH-ETH流动性池遭到攻击,其他NFT、合约和金库资产安全。
尽管JPEGd官方没有披露遭到攻击的影响情况,但安全公司Beosin称该项目损失资金至少达到1000万美元,并分析指出攻击者在调用remove_liquidity函数移除流动性时通过重入add_liquidity函数添加流动性,由于余额更新在重入进add_liquidity函数之前,导致价格计算出现错误。
然而一波未平一波又起,短短几个小时后,7月31日凌晨,加密社区传出多个Curve流动性池遭到攻击,随后DeFi协议Curve Finance官推发布声明,由于递归锁出现故障,许多使用Vyper 0.2.15的稳定币池(alETH/msETH/pETH)遭到攻击,并称其团队已经在评估情况,并将随着事态发展向社区通报最新情况。
Vyper也在其官推承认,版本0.2.15、0.2.16和0.3.0“容易”受到递归锁失效影响,目前问题调查正在进行中,同时提醒任何依赖这些版本的项目需要立即与其联系。
Curve Finance很快就跟进确认,本次事件只对使用Vyper版本和“纯”ETH的用户有影响,并且重申对crvUSD合约本身以及其他流动性池没有影响。
Curve Finance“递归锁”攻击事件影响
虽然Curve Finance反复确认其合约本身及其他流动性池没有影响,但事态并没有想象的那么简单,根据安全机构PeckShield监测,截至7月31日上午,Curve Finance稳定币池黑客攻击事件已造成Alchemix、JPEG'd、MetronomeDAO、deBridge、Ellipsis和CRV/ETH池累计损失5200万美元,其中:
DeFi借贷协议Alchemix的损失高达5000枚ETH,价值约1000万美元,占到当前总损失量的近1/5。Alchemix表示,在收到Curve Finance关于因Vyper错误导致alETH/ETH池被攻击的通知后已迅速开始通过AMO合约从曲线池中移除AMO控制的流动性,其合约本身没有受到任何形式的损害,资金是安全的,但alETH/ETH Curve池被攻击者耗尽。
DeFi合成资产协议Metronome宣布已暂停Metronome主网功能以将损害降至最低,同时确认一个涉及多个Curve池的漏洞已被攻击,攻击者从msETH-ETH池中盗走流动资金,但Metronome所有存款与未平仓头寸不受此次事件影响。
BNB链上DEX Ellipsis官方确认少量使用旧版Vyper编译器的BNB稳定流动性池遭到攻击,目前正在评估情况。
deBridge本文撰写时暂未发布公开声明。
受攻击事件影响,Curve DAO的原生代币CRV价格一度跌至0.59美元,目前报0.62美元,24小时跌幅高达15%。
此外,Curve Finance协议锁仓量也已由7月30日的32.66亿美元骤降至当前的24.81亿美元,减少7.85亿美元,24小时降幅达到24.03%。
Curve Finance官推也建议,如果用户是CRV/ETH资金池的流动性提供者,需要尽快使用“remove_liquidity_one_coin”将剩余的ETH提出,确保资金安全。
不过,就在加密社区倍感紧张的时候,事情似乎出现了一丝好转,据派盾预警监测,白帽攻击者c0ffeebabe.eth已向Curve部署者返还2879枚ETH(约540万美元),虽然数量不多,但至少给了受攻击影响的投资者一些慰藉。
总结
Curve Finance是一个“老牌”DeFi协议,旨在为交易稳定币的用户提供尽可能最好的利率。Curve利用各种流动性池来提高交易效率。人们普遍认为,由于Curve关注的是稳定币,因此流动性提供者的风险更低,然而在加密货币领域里,任何一个小“漏洞”都会造成巨大伤害,投资者需时刻关注安全并保持警惕。
Scan QR code with WeChat