全過程一覽：Curve 遭黑客攻擊，多個 DeFi 項目被波及

2023-07-31 16:07:07

事件經過

7 月 30日 21：34，PeckShield 監測到 NFT 借貸協議 JPEGd 遭到只讀重入攻擊。目前 Curve 上 pETH-ETH pool 中 pETH 價格跌至$383。pETH 是一種由 JPEGd 發推表示，pETH-ETH curve 池遭到攻擊，允許借貸 NFT 的保險庫合約仍然安全且運行穩定，NFT 和國庫資產未受影響。

22:50 msETH-ETH 被攻擊。

23:34 alETH-ETH 被攻擊。

7 月 31 日 0：44以太坊編程語言 Vyper 發推表示，Vyper 0.2.15、0.2.16 和0.3.0版本的重入鎖失效。

0：45 Curve 官方推特發文表示，由於重入鎖出現故障，許多使用 Vyper 0.2.15 的穩定幣池(alETH/msETH/pETH)遭到攻擊，其他池是安全的。

0：57 派盾統計受此影響，DeFi 借貸協議 Alchemix、NFT 借貸協議 JPEG'd、DeFi 合成資產協議 MetronomeDAO、跨鏈橋 deBridge 和採用 Curve 機制的 BNB Chain上DEX 項目 Ellipsis 累計損失超 2676 萬美元。

2：46 Metronome 發文稱作為預防措施，已暫停 Metronome 主網功能。

3:08 CRV-ETH 被攻擊，鏈上 CRV最低跌到0.08左右，但由於 AAVE 的價格取自 Chainlink，後者並沒把異常價格體現，使得 Curve 創始人 Michael Egorov 在 AAVE 的倉位未被清算。

據@Super4DeFi，在此期間有套利者以0.1ETH 購买了 600 alETH 和用 4 ETH 購买了 1200 alETH，Alchemix 官方發布聲明稱 alETH -ETH 池子損失 5000 ETH，當前 alETH =0.7ETH。OlympusDAO 脫離 fraxBP，將國庫穩定幣轉換成 1800玩枚 DAI，存入 DSR 中，其余 700萬枚 USDC 准備也換為 DAI。

7：26 派盾再次統計該安全事件損失已超 5195 萬美元。

7：50 CRV/ETH Pool 搶跑的 Mev Bot 部署者 c0ffeebabe.eth向 Curve Finance 部署者返還了 2,879.54 ETH，價值約 539 萬美元。

9：37 韓國最大交易所 Upbit 發布公告稱，由於 Curve 部分穩定幣池被攻擊，導致 CRV 波動性較大，現已暫停 Curve（CRV）充值與提幣服務。

其他影響

據 defillama 數據，Curve Finance TVL 24 小時減少 43.6%，目前為 18.4 億美元；Convex Finance TVL 24 小時減少 48.5%，目前為 149 億美元。

Aave 以太坊 v2 版本已經禁用 CRV 借款功能（可能是為了防止交易者利用 Curve 漏洞事件恐慌，借幣 CRV 惡意做空促使連環清算）。根據此前 Aave 治理通過的提案 AIP-125，面對一些突發事件，協議可以禁止特定資產的借款功能。目前在 Aave v2 中有超過 3 億枚 CRV 供應（約 95%來自 CRV 創始人 Michwill 的供應），僅有約 3500萬枚 CRV 已借出。

當前 Aave 中諸如 USDC、USDT 和 DAI 等標的物存借貸 APY 發生顯著上升，當前 USDC 存借貸 APY 仍超過 20%，USDT 超過 25%。由於攻擊 Curve 黑客（0xb1...c148）從中獲利了價值 460萬美元的 7,193,402 CRV，用戶對於 Curve 創始人 Michwill 巨額 CRV 清算以及產生的連鎖反應仍表擔憂（鏈上 CRV一度跌至$0.08，但 Chainlink 預言機未反饋在內，因而未觸發清算）。

目前 Michwill 在 Aave v2 有 293,020,675 CRV 擔保物（1.87 億美元）和 59,674,100 USDT 債務，清算线約$0.37；Fraxlend 中有 71,107,195 CRV 擔保物（4,4546 萬美元）和 21,337,989 FRAX 債務（2130萬美元），清算线約$0.4；在 Abracadabra 中有 63,404,437 CRV 擔保物（3,190萬美元）和 18,787,110 MIM 債務，清算线約$0.39；Inverse 中有 25,128,033 CRV 擔保物（1,600萬美元）和 7,689,209 DOLA 債務，清算线約$0.4。在近 6 小時，Michwill 已陸續進行了部分債務的清償。

慢霧@IM_23pds 指出，Vyper 官方文檔推薦的實際上是一個有缺陷的版本；余弦指出，智能合約語言層的 bug 導致一些知名項目的重入鎖防御失效，黑白帽黑客們及 MEV Bots 瘋狂了，各種重入操縱及搶跑拿走資金。最怕的就是這種基礎層漏洞，所幸這次不是 Solidity，而是不那么流行的 Vyper 出問題。或更進一步，這不是 EVM 等等更基礎層的問題。