Curve 一夜蒸發 7 千萬美元！一文梳理 Vyper 故障引發的連環攻擊

DeFi 生態遭遇重大安全危機

7 月 30 日，一場嚴重的安全事件震動了 DeFi 生態。多個使用 Vyper 編寫的 DeFi 項目遭到了重入攻擊，導致超過 7000 萬美元的加密貨幣被竊取或轉移。

Vyper 是一種基於 Python 的智能合約語言，與 EVM 網絡兼容。當天，Vyper 團隊在 Twitter 上披露，其智能合約編譯器的最新版本（0.2.15、0.2.16 和 0.3.0）沒有正確實現防止重入攻擊的保護措施。

什麼是重入攻擊？

重入攻擊是一種惡意行為，攻擊者在智能合約的一個函數調用完成之前，反覆調用該函數，利用合約的邏輯來竊取資金或操縱數據。例如，如果一個合約在更新余額之前就發送資金給用戶，那麼攻擊者就可以多次調用該函數，從而獲得比實際餘額更多的資金。

哪些項目受到影響？

Curve Finance 是一個自動化做市商平台，專注於穩定幣和其他低波動性資產的交易。Curve 的部分流動性池使用了 Vyper 編寫的智能合約，因此受到了該漏洞的影響。

據 MetaMask 開發者 Taylor Monahan 估計，Curve 的 CRV/ETH 池被盜走了價值約 2500 萬美元的資金。

此外，Alchemix、Metronome、JPEG 等其他使用 Curve 池機制的 DeFi 項目也遭到了類似的攻擊，損失了價值約 4500 萬美元的流動性。

事件影響

這些攻擊引發了社群對 Curve DAO 的 CRV 代幣價格波動和清算風險的擔憂。CRV 是 Curve 平台上治理和獎勵代幣，在去中心化交易所上一度暴跌了 86%，從 $4.5 跌至 $0.6。

然而，在鏈上數據顯示，攻擊者還沒有開始出售他們盜取的價值約 450 萬美元的 CRV，因此價格可能還會進一步下跌。

這次事件也重新引起了人們對 Curve 創始人 Michael Egorov 巨額借貸行為的關注。

Egorov 在 Aave、Fraxlend、Abracadabra 和 Inverse Finance 等頂級借貸協議上，使用了價值超過 1 億美元的 CRV 作為抵押物，借入了大量的穩定幣。

如果 CRV 的價格跌破清算線，Egorov 的倉位將被清算，這將對 Aave 和其他借貸協議造成巨大的壞帳損失，因為 CRV 的鏈上流動性不足以清算 Egorov 的倉位。

Egorov 在事件發生後，迅速償還了部分債務，並增加了抵押物，將他在 Aave 上的清算線降低到了 $0.37。

DeFi 借貸平台 Aave 和其他協議為了防止 CRV 的價格波動導致連鎖清算，暫停了 CRV 的借款功能，並提高了借貸費用。

目前，在 Aave v2 中有超過 3 億枚 CRV 供應（約 95% 來自 Egorov 的供應），僅有約 3500 萬枚 CRV 已借出。當前，Aave 中諸如 USDC、USDT 和 DAI 等標的物的存借貸 APY 發生顯著上升，當前 USDC 存借貸 APY 仍超過 20%，USDT 超過 25%。

白帽駭客和 MEV 機器人的作用

值得一提的是，並非所有的攻擊者都是惡意的。部分白帽駭客和 MEV 機器人將盜取的資金返還給了受影響的項目，以減輕他們的損失。

例如，CRV/ETH 池被攻擊後，一個 MEV 機器人部署者 c0ffeebabe.eth 向 Curve 部署者返還了價值約 539 萬美元的 2879.54 ETH。另一個 MEV 機器人部署者也向 Alchemix 返還了價值約 1000 萬美元的 ETH。

結論

Curve Vyper Bug 是一場嚴重的安全事件，影響了許多 DeFi 項目和用戶。它暴露了 Vyper 編譯器的缺陷，以及 Curve 平台和生態系統的脆弱性。它也提醒了我們，在 DeFi 領域，風險無處不在，需要謹慎投資和管理資產。