- +1
Curve遭黑客攻擊,連鎖反應或將對DeFi領域產生重大影響
由于智能合約編程語言Vyper的部分版本存在嚴重漏洞,以穩定幣交易聞名的的去中心化交易所Curve Finance昨日清晨遭黑,累積損失金額預估高達7000萬美元,不少DeFi協議遭遇重創。
據悉,本次漏洞源于Vyper語言版本0.2.15至0.3.0之間的重入鎖機制失效。對于區塊鏈項目來說,重入鎖功能失效問題可能會導致合約的執行流程被打斷或者產生不可預期的結果,從而影響整個系統的穩定性。
Curve運營著232個不同的池,其團隊成員mimaklas在Discord上宣布,只有使用Vyper0.2.15、0.2.16和0.3.0版本的池存在風險,其他池子是安全的。mimaklas表示,“所有受影響的池已經被抽空或白帽黑客攻擊,團隊正在與受影響的團隊評估情況。”
據區塊鏈技術安全公司派盾(Peck Shield)統計,此次重入攻擊事件已造成約5200萬美元的損失。其中,Curve的CRV/ETH池被盜走了價值約2500萬美元的資金,Alchemix(alETH發行方)、JPEG'd(pETH發行方)、Metronome(msETH發行方)等其他使用Curve池機制的DeFi項目也遭到了類似的攻擊,損失了價值約2700萬美元。
需要強調的是,并非所有攻擊者都是惡意的,部分白帽黑客和MEVBot(最大可提取價值機器人)將盜取的資金返還給了受影響的項目,以減輕他們的損失。例如,CRV/ETH池被攻擊后,一個MEV機器人部署者向Curve部署者返還了價值約539萬美元的2879.54ETH。
由于此次事件,Curve原生CRV代幣在各交易所遭受閃崩,價格暴跌86%,從4.5美元跌至0.6美元。然而鏈上數據顯示,攻擊者還沒有開始出售他們盜取的價值約450萬美元的CRV,因此價格可能還會進一步下跌。
為應對危機,Curve創始人邁克爾·埃戈羅夫(Michael Egorov)在Aave、Fraxlend、Abracadabra和Inverse Finance等頂級借貸協議上,使用了價值超過1億美元的CRV代幣作為抵押物,借入了大量的穩定幣。
然而,一旦CRV的價格跌破清算線,不僅會使Curve創始人的借款頭寸被清算,Aave和其他借貸協議也將面臨巨大的壞賬損失,從而進一步加劇混亂局面。目前,為了防止CRV的價格波動導致的連鎖清算,Aave和其他協議已經暫停了CRV的借款功能,并提高了借貸費用。
一位名為Ignas的DeFi研究員表示,Curve Finance漏洞“動搖了人們對DeFi的信心”,如果一個運行了三年沒有問題的協議被利用,這會讓人們質疑Aave、Compound甚至Uniswap等其他藍籌協議的安全性,加密用戶已經擔心Uniswap v4具有單一的智能合約設計,如果遭到黑客攻擊,風險會更大,因為所有資金都會立即受到攻擊。Ignas表示,黑客利用的是Vyper編譯器,而不是Curve的智能合約本身,這一點令人擔憂,因為現在用Vyper編譯的任何協議都可能面臨風險。
Lens Protocol創始人Stani創始人就Curve事件發表的看法非常中肯。他指出,雖然DeFi是面向所有人開放的,但建立具有韌性的DeFi系統確實非常困難且充滿風險。在Curve的案例中,他們在協議層面做得非常出色,但Vyper編譯器出現問題導致整個DeFi生態系統面臨風險,包括底層技術堆棧和以太坊虛擬機(EVM)等。
他還提到,盡管此次事件造成了一定損失,Curve社區還是能夠妥善處理,并且一些攻擊者或MEV機器人已經將部分被盜資金歸還給Curve。這顯示出DeFi社區的共識和合作精神。
最后,Stani強調了一個重要觀點,那就是DeFi賦予了公眾知情權,但同時也容易受到不正確信息的影響,例如關于被盜金額和受影響協議的不準確信息,這可能導致不必要的恐慌和擔憂。
總結
Curve作為DeFi領域最重要的去中心化交易所之一,擁有龐大的流動性和用戶基礎,其重要性和影響力不言而喻。因此,此次攻擊事件除了為智能合約的安全性敲響警鐘,后續所引發的價格波動、流動性變差、壞賬出現等連鎖反應或將對整個DeFi領域產生難以估量的影響,可能進一步加速監管機構介入DeFi領域的步伐,以保護用戶利益、降低市場風險并維護金融穩定。
本文為澎湃號作者或機構在澎湃新聞上傳并發布,僅代表該作者或機構觀點,不代表澎湃新聞的觀點或立場,澎湃新聞僅提供信息發布平臺。申請澎湃號請用電腦訪問http://renzheng.thepaper.cn。
- 報料熱線: 021-962866
- 報料郵箱: news@thepaper.cn
互聯網新聞信息服務許可證:31120170006
增值電信業務經營許可證:滬B2-2017116
? 2014-2024 上海東方報業有限公司