智能合约编程语言Vyper出现漏洞,随着资金池耗尽和清算威胁迫在眉睫,DeFi面临蔓延事件的风险。
攻击媒介
7月31日凌晨,智能合约编程语言Vyper发推表示,Vyper0.2.15、0.2.16和0.3.0版本的防重入锁失效。恶意行为者利用重入攻击反复重新签署合约,导致未经授权的操作或资金被盗,包括CurveFinance在内的一些重要项目因此遭受了攻击,初步估计已被利用的金额高达7000万美元。其中一部分资金由白帽黑客和MEV机器人保管,可能会被追回。
Curve炸弹
Curve生态中的4个资金池CRV/ETH、alETH/ETH、msETH/ETH、pETH/ETH被攻击,超过4500万美元的流动性已从借贷协议Alchemix、合成资产Metronome、NFT借贷平台JPEG'd的池中中流失,近2500万美元从CRV/ETH池中流出。另一个可能受影响的池是ArbitrumTricrypto池,但审计人员和Vyper开发人员暂未找到可攻击漏洞。
此外,DefiLlama数据显示,CurveFinance总锁仓量(TVL)已由7月30日的32.66亿美元降至18.69亿美元,24小时降幅为42.78%。
CRV价格波动
中心化交易所显示CRV价格触底至0.583美元,但该代币在链上触及0.109美元的低点。CRV/ETH池被黑后,链上CRV流动性变差,导致链上价格波动。
尽管CRV遭到残酷抛售,但黑客仍然有收益。恢复失败将导致CRV被抛售,这可能对借贷协议产生严重影响。目前该钱包仍持有700万枚CRV(约450万美元)。
借贷警告
Curve创始人MichaelEgorov在众多借贷协议上以他的CRV为抵押获得了大量贷款,其中最大一笔贷款是在Aave上。如果CRV价格达到清算阈值,协议将被迫清算CRV头寸。根据加密研究员0xLoki统计,MichaelEgorov目前抵押2.92亿CRV(1.81亿美元),借出1.1亿美元,主要分布于:
1.AAVE上抵押了1.9亿CRV,借了6500万美元,清算价0.37美元;
2.FRAXlend上抵押4600万CRV,借了2100万FRAX,清算价0.4美元;
3.Abracadabr存入4000万CRV,借出1800万美元,清算价0.39美元;
4.Inverse上存入1600万CRV,借出700万美元,清算价0.4美元。
过去6小时,Egorov在AAVE和Abracadabra各补了1000万左右CRV的保证金。
还款狂热
为了避免在出售时被清算,MichaelEgorov一直在偿还贷款债务。鉴于还款努力,MichaelEgorov在Aave贷款的新清算门槛已降低为0.37美元。
预警
已知链上流动性不足以清算MichaelEgorov的头寸。上个月,DeFi风险管理公司Gauntlet试图冻结Aave的CRV市场,但他们的提议被一致拒绝。
Curve的CRV/ETH池中的流动性已经消失。CRV流动性下降得比Gauntlet提出建议时还要低,如果头寸被清算,坏账似乎不可避免。
DeFi溢出
一旦产生坏账,借贷协议必须动用保险资金。例如,Aave会从其安全模块出售AAVE代币以弥补任何短缺,但出售将减少剩余抵押品的价值。
流动性影响
广泛的波动性和剩余的未知因素将导致许多人从Curve中移除流动性。随着Curve和其他链上DEX的流动性持续减少,价格将变得越来越不稳定。
贷款人撤退
贷款机构正竞相从货币市场协议中提取资金。Aave的USDT池利用率超过50%,借款利率飙升至91%,给MichaelEgorov的头寸带来巨大压力:如果利率不下降,几天之内就会被清算。
虽然Curve池的损害可能已经造成,但这种利用对DeFi的潜在影响可能才刚刚开始。与CRV市场的贷款协议即使不是破产,也可能面临一些严重坏账的风险
