由于智能合约编程语言Vyper的部分版本存在严重漏洞,以稳定币交易闻名的的去中心化交易所Curve Finance昨日清晨遭黑,累积损失金额预估高达7000万美元,不少DeFi协议遭遇重创。
据悉,本次漏洞源于Vyper语言版本0.2.15至0.3.0之间的重入锁机制失效。对于区块链项目来说,重入锁功能失效问题可能会导致合约的执行流程被打断或者产生不可预期的结果,从而影响整个系统的稳定性。
Curve运营着232个不同的池,其团队成员mimaklas在Discord上宣布,只有使用Vyper0.2.15、0.2.16和0.3.0版本的池存在风险,其他池子是安全的。mimaklas表示,“所有受影响的池已经被抽空或白帽黑客攻击,团队正在与受影响的团队评估情况。”
据区块链技术安全公司派盾(Peck Shield)统计,此次重入攻击事件已造成约5200万美元的损失。其中,Curve的CRV/ETH池被盗走了价值约2500万美元的资金,Alchemix(alETH发行方)、JPEG'd(pETH发行方)、Metronome(msETH发行方)等其他使用Curve池机制的DeFi项目也遭到了类似的攻击,损失了价值约2700万美元。
需要强调的是,并非所有攻击者都是恶意的,部分白帽黑客和MEVBot(最大可提取价值机器人)将盗取的资金返还给了受影响的项目,以减轻他们的损失。例如,CRV/ETH池被攻击后,一个MEV机器人部署者向Curve部署者返还了价值约539万美元的2879.54ETH。
由于此次事件,Curve原生CRV代币在各交易所遭受闪崩,价格暴跌86%,从4.5美元跌至0.6美元。然而链上数据显示,攻击者还没有开始出售他们盗取的价值约450万美元的CRV,因此价格可能还会进一步下跌。
为应对危机,Curve创始人迈克尔·埃戈罗夫(Michael Egorov)在Aave、Fraxlend、Abracadabra和Inverse Finance等顶级借贷协议上,使用了价值超过1亿美元的CRV代币作为抵押物,借入了大量的稳定币。
然而,一旦CRV的价格跌破清算线,不仅会使Curve创始人的借款头寸被清算,Aave和其他借贷协议也将面临巨大的坏账损失,从而进一步加剧混乱局面。目前,为了防止CRV的价格波动导致的连锁清算,Aave和其他协议已经暂停了CRV的借款功能,并提高了借贷费用。
一位名为Ignas的DeFi研究员表示,Curve Finance漏洞“动摇了人们对DeFi的信心”,如果一个运行了三年没有问题的协议被利用,这会让人们质疑Aave、Compound甚至Uniswap等其他蓝筹协议的安全性,加密用户已经担心Uniswap v4具有单一的智能合约设计,如果遭到黑客攻击,风险会更大,因为所有资金都会立即受到攻击。Ignas表示,黑客利用的是Vyper编译器,而不是Curve的智能合约本身,这一点令人担忧,因为现在用Vyper编译的任何协议都可能面临风险。
Lens Protocol创始人Stani创始人就Curve事件发表的看法非常中肯。他指出,虽然DeFi是面向所有人开放的,但建立具有韧性的DeFi系统确实非常困难且充满风险。在Curve的案例中,他们在协议层面做得非常出色,但Vyper编译器出现问题导致整个DeFi生态系统面临风险,包括底层技术堆栈和以太坊虚拟机(EVM)等。
他还提到,尽管此次事件造成了一定损失,Curve社区还是能够妥善处理,并且一些攻击者或MEV机器人已经将部分被盗资金归还给Curve。这显示出DeFi社区的共识和合作精神。
最后,Stani强调了一个重要观点,那就是DeFi赋予了公众知情权,但同时也容易受到不正确信息的影响,例如关于被盗金额和受影响协议的不准确信息,这可能导致不必要的恐慌和担忧。
总结
Curve作为DeFi领域最重要的去中心化交易所之一,拥有庞大的流动性和用户基础,其重要性和影响力不言而喻。因此,此次攻击事件除了为智能合约的安全性敲响警钟,后续所引发的价格波动、流动性变差、坏账出现等连锁反应或将对整个DeFi领域产生难以估量的影响,可能进一步加速监管机构介入DeFi领域的步伐,以保护用户利益、降低市场风险并维护金融稳定。