内容目录DeFi生态遭遇重大安全危机什么是重入攻击?哪些项目受到影响?事件影响白帽骇客和MEV机器人的作用结论DeFi生态遭遇重大安全危机7月30日,一场严重的安全事件震动了DeFi生态。多个使用Vyper编写的DeFi项目遭到了重入攻击,导致超过7000万美元的加密货币被窃取或转移。Vyper是一种基于Python的智能合约语言,与EVM网络兼容。当天,Vyper团队在Twitter上披露,其智能合约编译器的最新版本(0.2.15、0.2.16和0.3.0)没有正确实现防止重入攻击的保护措施。
什么是重入攻击?重入攻击是一种恶意行为,攻击者在智能合约的一个函数调用完成之前,反复调用该函数,利用合约的逻辑来窃取资金或操纵数据。例如,如果一个合约在更新余额之前就发送资金给用户,那么攻击者就可以多次调用该函数,从而获得比实际余额更多的资金。哪些项目受到影响?CurveFinance是一个自动化做市商平台,专注于稳定币和其他低波动性资产的交易。Curve的部分流动性池使用了Vyper编写的智能合约,因此受到了该漏洞的影响。
据MetaMask开发者TaylorMonahan估计,Curve的CRV/ETH池被盗走了价值约2500万美元的资金。此外,Alchemix、Metronome、JPEG等其他使用Curve池机制的DeFi项目也遭到了类似的攻击,损失了价值约4500万美元的流动性。事件影响这些攻击引发了社群对CurveDAO的CRV代币价格波动和清算风险的担忧。CRV是Curve平台上治理和奖励代币,在去中心化交易所上一度暴跌了86%,从$4.5跌至$0.6。然而,在链上数据显示,攻击者还没有开始出售他们盗取的价值约450万美元的CRV,因此价格可能还会进一步下跌。这次事件也重新引起了人们对Curve创始人MichaelEgorov巨额借贷行为的关注。
Egorov在Aave、Fraxlend、Abracadabra和InverseFinance等顶级借贷协议上,使用了价值超过1亿美元的CRV作为抵押物,借入了大量的稳定币。如果CRV的价格跌破清算线,Egorov的仓位将被清算,这将对Aave和其他借贷协议造成巨大的坏帐损失,因为CRV的链上流动性不足以清算Egorov的仓位。Egorov在事件发生后,迅速偿还了部分债务,并增加了抵押物,将他在Aave上的清算线降低到了$0.37。DeFi借贷平台Aave和其他协议为了防止CRV的价格波动导致连锁清算,暂停了CRV的借款功能,并提高了借贷费用。目前,在Aavev2中有超过3亿枚CRV供应(约95%来自Egorov的供应),仅有约3500万枚CRV已借出。当前,Aave中诸如USDC、USDT和DAI等标的物的存借贷APY发生显著上升,当前USDC存借贷APY仍超过20%,USDT超过25%。
白帽骇客和MEV机器人的作用值得一提的是,并非所有的攻击者都是恶意的。部分白帽骇客和MEV机器人将盗取的资金返还给了受影响的项目,以减轻他们的损失。例如,CRV/ETH池被攻击后,一个MEV机器人部署者c0ffeebabe.eth向Curve部署者返还了价值约539万美元的2879.54ETH。另一个MEV机器人部署者也向Alchemix返还了价值约1000万美元的ETH。结论CurveVyperBug是一场严重的安全事件,影响了许多DeFi项目和用户。它暴露了Vyper编译器的缺陷,以及Curve平台和生态系统的脆弱性。它也提醒了我们,在DeFi领域,风险无处不在,需要谨慎投资和管理资产。(以上内容获合作伙伴MarsBit)声明:文章仅代表作者个人观点意见,不代表区块客观点和立场,所有内容及观点仅供参考,不构成投资建议。投资者应自行决策与交易,对投资者交易形成的直接间接损失作者及区块客将不承担任何责任。