曲线金融黑客事件的后果
分散式金融(DeFi)行业又面临着另一个重大挫折。 曲线金融,突出 DeFi 协议于 30 月 47 日被利用,导致损失超过 0.2.15 万美元。 该事件是 Curve Finance 上多个稳定矿池使用的 Vyper 0.2.16、0.3.0 和 XNUMX 版本中的重入漏洞造成的。
漏洞
该漏洞的主要原因是 Vyper 特定版本的重入锁出现故障,Vyper 是一种面向合约的 Python 编程语言,针对以太坊虚拟机 (EVM)。 这种编程语言是 Python 开发人员过渡到的首选 Web3 由于其与 Python 的相似性。
初步调查显示,这些 Vyper 编译器版本没有正确实现重入防护。 当合约被锁定时,就会发生重入攻击,从而阻止多个函数同时执行。 如果实施不正确,这可能会耗尽合同中的所有资金。 Ancilia 是一家安全公司,已使用以下方式识别了 136 份合同: Vyper的 0.2.15、98 个使用 Vyper 0.2.16 的合约以及 226 个使用具有重入保护的 Vyper 0.3.0 的合约。
曲线黑客
几个 DeFi 项目受到此漏洞的影响,导致大量资金外流。 例如, 省略去中心化交易所报告称,一些带有 BNB 的稳定矿池被旧的 Vyper 编译器所利用。 Alchemix 的 alETH-ETH 流出 13.6 万美元。 JPEGd 的 pETH-ETH 池被利用了 11.4 万美元,Metronome 的 sETH-ETH 池损失了 1.6 万美元。
由于重入锁故障,许多使用 Vyper 0.2.15 的稳定池 (alETH/msETH/pETH) 已被利用。 我们正在评估情况,并将随着事态的发展向社区通报最新情况。
—曲线金融(@CurveFinance) 2023 年 7 月 30 日
其他泳池都是安全的。 https://t.co/eWy2d3cDDj
在这些攻击之后, 迈克尔·埃格罗夫Curve Finance 首席执行官证实,超过 32 万枚 CRV 代币已从互换池中耗尽,价值超过 22 万美元。 这一确认是在整个市场陷入恐慌之后做出的。 DeFi 生态系统,导致跨矿池的大量交易和白帽子的救援行动。
CoinMarketCap 数据显示,受此消息影响,Curve Finance 的实用代币 Curve DAO (CRV) 下跌超过 5%。 近几个月CRV的流动性大幅下降,使其容易出现剧烈的价格波动。
尽管造成了严重损害,Curve Finance 仍保证 crvUSD 合约以及与之相关的任何资金池不会受到该漏洞的影响。 黑客攻击发生后,Curve Finance 证实了这一事件,并承认他们无法及时保护矿池的安全。 Etherscan 上可见的单个交易证实了该漏洞。
语境
此次攻击是针对 Curve Finance 的一系列事件中的最新一起。 就在几天前,攻击者利用了omnipool平台 锥形财经,盗取价值 3.26 万美元的以太坊 (ETH)。 犯罪者通过一笔快速交易将几乎全部被盗资金转移到新的以太坊地址。
我们目前正在调查涉及 ETH Omnipool 的漏洞,并将在有更新后立即分享。
— Conic 财经 (@ConicFinance) 2023 年 7 月 21 日
Curve Finance 黑客攻击是更广泛的攻击模式的一部分 DeFi 协议。 根据一份报告显示 Web3 投资组合应用程序、De.Fi、 DeFi 仅 204 年第二季度,黑客和诈骗造成的损失就超过 2023 亿美元。
还款及退货
事件发生后,Curve创始人迅速采取行动,偿还了4.63万USDT,并存入了16万CRV(折合10.12万美元)。 AAVE。 目前,他在 Aave 上拥有 293 亿枚 CRV(价值 181 亿美元)抵押品和 59.68 万美元 USDT 债务,健康率为 1.69。
在一次意想不到的事件中,一位名为 咖啡宝贝.eth 向 Curve 部署者返还 2,879 ETH(约 5.4 万美元)。 此次事件减轻了黑客攻击造成的部分损失。
后 #曲线 创始人被黑了 #曲线菲 还款4.63万 $ USDT 并存入16M $ CRV (10.12 万美元) #ave.
— Lookonchain (@lookonchain) 2023 年 7 月 31 日
他目前有293M $ CRV (181 亿美元)抵押品和 59.68 万美元 $ USDT 的债务于 #ave,健康率为1.69。https://t.co/stkFvDrlnv pic.twitter.com/tzYlt9Vmfk
劫后余生
调查人员还确定了黑客的地址以及与 Curve 黑客攻击相关的资金数额。 迄今为止,被利用的总金额约为 52 万美元。
黑客地址:
- 0xdce5d6b41c32f578f875efffc0d422c57a75d7d8: 7,259 ETH ($13.5M), related to AlchemixFi
- 0x6ec21d1868743a44318c3c259a6d4953f9978538
从这些事件中可以清楚地看出 DeFi 协议虽然很有前途,但仍然存在缺陷。 协议和用户都应保持警惕并积极主动地实施和遵循最佳安全实践。
史无前例的事件
这确实是加密货币领域疯狂的一天。 当许多加密货币爱好者在 Base 上赌博时,Curve 黑客事件发生了,黑客手中留下了 32 万个 CRV 代币。 更令人震惊的是,尽管创始人一直在努力偿还债务,但 Aave 可能会以 100 美元的价格清算 0.42 亿美元的 CRV。
加密货币领域疯狂的一天。
— 伊格纳斯 | DeFi 研究 (@Defi伊格纳斯) 2023 年 7 月 30 日
当 degens 在 Base 上赌博时,Curve 遭到黑客攻击,黑客手中有 32 万枚 CRV 代币。
更糟糕的是,Aave 上有 100 亿美元的 CRV 以 0.42 美元的价格清算,但创始人目前正在偿还债务。
🤞 pic.twitter.com/9s0JSrNYgt
曲线黑客 分析
随着 Curve Finance 黑客事件的尘埃落定,对生态系统的全面影响逐渐清晰。 此次袭击事件给我市造成了沉重打击 DeFi 生态系统,特别是影响遭受直接后果的代币。 例如,由于 CRV 漏洞,一些代币的价值损失了 30% 以上。
Curve 创始人迅速做出反应,偿还部分损失的资金,第三方意外返还资金,再加上黑客失去被盗资金的讽刺性转折,稍微缓解了这种情况。 尽管如此,这一事件还是提醒人们,智能合约和更广泛的领域中存在潜在的漏洞。 DeFi 空间。
对于项目内的项目来说很重要 DeFi 持续投资安全措施、审核智能合约并针对可能的漏洞制定应急计划。 用户在与他人互动时还必须保持警惕并考虑风险因素 DeFi 平台。
Curve Finance 黑客事件清楚地提醒我们,金融领域的创新和高回报潜力 DeFi 该行业也存在重大风险。 随着该行业的成熟,开发人员和组织将采用强大的安全措施作为标准做法,从而消除未来发生此类漏洞的可能性。
了解更多:
免责声明
在与行 信托项目指南,请注意,本页提供的信息无意且不应被解释为法律、税务、投资、财务或任何其他形式的建议。 重要的是,仅投资您可以承受损失的金额,并在有任何疑问时寻求独立的财务建议。 如需了解更多信息,我们建议您参阅条款和条件以及发行人或广告商提供的帮助和支持页面。 MetaversePost 致力于提供准确、公正的报告,但市场状况如有变更,恕不另行通知。
关于作者
Nik 是一位出色的分析师和作家 Metaverse Post,专注于为快节奏的技术世界提供前沿见解,特别注重人工智能/机器学习、XR、VR、链上分析和区块链开发。 他的文章吸引了不同的受众并为他们提供信息,帮助他们保持技术领先地位。 Nik 拥有经济和管理硕士学位,对商业世界的细微差别及其与新兴技术的交叉点有着深入的了解。
更多文章
Nik 是一位出色的分析师和作家 Metaverse Post,专注于为快节奏的技术世界提供前沿见解,特别注重人工智能/机器学习、XR、VR、链上分析和区块链开发。 他的文章吸引了不同的受众并为他们提供信息,帮助他们保持技术领先地位。 Nik 拥有经济和管理硕士学位,对商业世界的细微差别及其与新兴技术的交叉点有着深入的了解。
