Curve遭攻擊,引發DeFi連環案
Curve遭遇攻擊,其所引發的價格波動、流動性變差、壞賬出現等連鎖反應正在上演。Curve Finance穩定幣池黑客攻擊事件已造成Alchemix、JPEG’d、MetronomeDAO、deBridge、Ellipsis和CRV/ETH池累計損失5200萬美元。
Curve Finance官方轉發了加密風險評估集團LlamaRisk發布關於Curve池重入漏洞利用事後分析。LlamaRisk的報告表示,舊版本Vyper編譯器中的錯誤導致有限的Curve池組使用的安全功能出現故障,結果讓攻擊者能夠耗儘受影響池中的代幣。儘管Curve正在嘗試聯係漏洞利用者並收回用戶資金,但該漏洞的利用直接損害了這些受影響礦池的Curve流動性提供商的利益。多虧了白帽黑客,DAO才收回了受影響池中的部分代幣。Curve eDAO無法暫停Curve池或以任何方式處理用戶資金,但它可以停止CRV Gauge(Curve的專用名詞,意為儲蓄池子)向Curve池的排放,預計eDAO將消除所有受影響池的Gauge排放。
此次事件中受影響的池和造成損失的金額分彆為:1.pETH/ETH:6106.65枚WETH(約1100萬美元);2,msETH/ETH:866.55枚WETH(約160萬美元)和959.71枚msETH(約180萬美元);3.alETH/ETH:7258.70枚WETH(約 1360萬美元)和4821.55alETH(約900萬美元);4.CRV/ETH:7193,401.77枚CRV(利用時約510萬美元)、7680.49枚WETH(約1420萬美元)和2879.65枚ETH(約540萬美元)。上述池共計損失約6170萬美元。
報告還表示,接下來的直接步驟是停止向受影響池的Gauge排放,並為alETH、msETH和pETH創建新的普通池。新的ETH池應該與ETH或ETH池實現配對。CRV已經有了一個與crvUSD和ETH配對的新Tricrypto池,該池不受重入錯誤的影響。Curve團隊將繼續探索回收用戶資金的所有途徑,並將在社交渠道上更新情況。
安全團隊Decurity發現Curve pbtc-sbtc-f流動性池使用了ERC-777 Callback,這可能存在重入攻擊風險。Decurity還指出,白帽攻擊者c0ffeebabe.eth已利用此漏洞進行了一筆1900美元的攻擊。Curve官方團隊隨後承認了這一漏洞,稱這是舊的pBTC池,已被棄用,但其中仍剩餘少量資金。這都是由於ERC-777設計存在相同的漏洞。
8月3日消息,據鏈上分析師餘燼監測,截至8月3日10:00,Curve創始人累計向15個投資者/機構出售了7200萬枚CRV,換得資金2880萬美元。
