事件经过
7月30日21:34,PeckShield监测到NFT借贷协议JPEGd遭到只读重入攻击。目前Curve上pETH-ETHpool中pETH价格跌至$383。pETH是一种由JPEGd发推表示,pETH-ETHcurve池遭到攻击,允许借贷NFT的保险库合约仍然安全且运行稳定,NFT和国库资产未受影响。
22:50msETH-ETH被攻击。
23:34alETH-ETH被攻击。
7月31日0:44以太坊编程语言Vyper发推表示,Vyper0.2.15、0.2.16和0.3.0版本的重入锁失效。
0:45Curve官方推特发文表示,由于重入锁出现故障,许多使用Vyper0.2.15的稳定币池(alETH/msETH/pETH)遭到攻击,其他池是安全的。
0:57派盾统计受此影响,DeFi借贷协议Alchemix、NFT借贷协议JPEG'd、DeFi合成资产协议MetronomeDAO、跨链桥deBridge和采用Curve机制的BNBChain上DEX项目Ellipsis累计损失超2676万美元。
2:46Metronome发文称作为预防措施,已暂停Metronome主网功能。
3:08CRV-ETH被攻击,链上CRV最低跌到0.08左右,但由于AAVE的价格取自Chainlink,后者并没把异常价格体现,使得Curve创始人MichaelEgorov在AAVE的仓位未被清算。
据@Super4DeFi,在此期间有套利者以0.1ETH购买了600alETH和用4ETH购买了1200alETH,Alchemix官方发布声明称alETH-ETH池子损失5000ETH,当前alETH=0.7ETH。OlympusDAO脱离fraxBP,将国库稳定币转换成1800玩枚DAI,存入DSR中,其余700万枚USDC准备也换为DAI。
7:26派盾再次统计该安全事件损失已超5195万美元。
7:50CRV/ETHPool抢跑的MevBot部署者c0ffeebabe.eth向CurveFinance部署者返还了2,879.54ETH,价值约539万美元。
9:37韩国最大交易所Upbit发布公告称,由于Curve部分稳定币池被攻击,导致CRV波动性较大,现已暂停Curve(CRV)充值与提币服务。
其他影响
据defillama数据,CurveFinanceTVL24小时减少43.6%,目前为18.4亿美元;ConvexFinanceTVL24小时减少48.5%,目前为149亿美元。
Aave以太坊v2版本已经禁用CRV借款功能(可能是为了防止交易者利用Curve漏洞事件恐慌,借币CRV恶意做空促使连环清算)。根据此前Aave治理通过的提案AIP-125,面对一些突发事件,协议可以禁止特定资产的借款功能。目前在Aavev2中有超过3亿枚CRV供应(约95%来自CRV创始人Michwill的供应),仅有约3500万枚CRV已借出。
当前Aave中诸如USDC、USDT和DAI等标的物存借贷APY发生显著上升,当前USDC存借贷APY仍超过20%,USDT超过25%。由于攻击Curve黑客(0xb1…c148)从中获利了价值460万美元的7,193,402CRV,用户对于Curve创始人Michwill巨额CRV清算以及产生的连锁反应仍表担忧(链上CRV一度跌至$0.08,但Chainlink预言机未反馈在内,因而未触发清算)。
目前Michwill在Aavev2有293,020,675CRV担保物(1.87亿美元)和59,674,100USDT债务,清算线约$0.37;Fraxlend中有71,107,195CRV担保物(4,4546万美元)和21,337,989FRAX债务(2130万美元),清算线约$0.4;在Abracadabra中有63,404,437CRV担保物(3,190万美元)和18,787,110MIM债务,清算线约$0.39;Inverse中有25,128,033CRV担保物(1,600万美元)和7,689,209DOLA债务,清算线约$0.4。在近6小时,Michwill已陆续进行了部分债务的清偿。
慢雾@IM_23pds指出,Vyper官方文档推荐的实际上是一个有缺陷的版本;余弦指出,智能合约语言层的bug导致一些知名项目的重入锁防御失效,黑白帽黑客们及MEVBots疯狂了,各种重入操纵及抢跑拿走资金。最怕的就是这种基础层漏洞,所幸这次不是Solidity,而是不那么流行的Vyper出问题。或更进一步,这不是EVM等等更基础层的问题。
