7 月30 日,因Vyper部分版本(0.2.15、0.2.16和0.3.0)存在功能失效的遞歸鎖漏洞,Curve穩定幣池alETH/msETH/pETH遭遇攻擊。受Curve部分穩定幣池攻擊事件影響,Alchemix、JPEG'd、Metronome、deBridge和Ellipsis目前累計損失約為7000萬美元:
Alchemix:7259枚ETH和4821枚alETH(約2200萬美元);
JPEG'd:6106枚ETH (約1140萬美元);
Metronome:866.554枚ETH (約160萬美元),955枚smETH(約170萬美元);
CRV-ETH pool: 1.05 萬枚ETH(約1940 萬美元), 719 萬枚CRV(約440 萬美元)。
受攻擊影響,CRV價格下跌,創始人借款面臨清算風險
受攻擊影響,在7月31日,Curve Finance總鎖倉量(TVL)已由7月30日的32.66億美元降至18.69億美元,24 小時降幅為42.78%,CRV價格24小時跌幅為14.89% 。
而CRV價格下跌走勢迫使Curve創始人Michael Egorov在Aave上的7000萬美元借款頭寸面臨清算風險。鑑於此,Egorov 通過OTC出售CRV,換得資金來還貸款。
自8月1日開始OTC出售以來,截止8月6日,Egorov 已累計向30家投資者/機構出售了1.4265億枚CRV ,換得資金5706萬美元。
截至8 月6 日,Egorov 在四個平台上仍抵押2.698 億枚CRV(約合1.66 億美元),債務規模約為4870 萬美元。
攻擊者歸還資金
7月30日,漏洞利用者coffeebabe.eth將786枚ETH(145 萬美元)和955枚smETH(174萬美元)歸還給Metronome,將2879枚ETH(536萬美元)歸還給Curve Finance;
8月3日,Curve基金會向漏洞利用者發送了鏈上消息,如果攻擊者在8 月6 日上午8 點(UTC)之前歸還剩餘的90%,將獲得被盜資金的10%作為賞金;
8月4日,攻擊者0x6ec向JPEG'd歸還了5495枚WETH (1000萬美元) 並保留了610枚ETH (110萬美元) 作為10% 賞金;攻擊者0xdce向AlchemixFi 返還2258枚ETH (415萬美元) 和4820枚alETH (882 萬美元);
8月5日,0xdce向AlchemixFi返還4999 枚ETH(918 萬美元),已全部返還;
8月6日,32%的被盜資產(約1870 萬美元)尚未歸還:
來自MetronomeDAO(由coffeebabe.eth 保管)的80枚ETH(1.47 萬美元) ;
來自CRV-ETH 池的7681枚ETH(1440 萬美元)和719萬枚CRV(443萬美元)。
截止發稿,在Curve Finance Vyper漏洞利用中被盜的5950萬美元中,約4030萬美元已經歸還,56萬美元作為黑客的賞金,約1870萬美元仍未被CRV/ETH 漏洞利用者歸還(0xb752 ...b324)。
8月7日,Curve Finance發推稱,CRV/ETH漏洞攻擊者自願歸還資金的截止日期已過,將提供賞金對任何提供導致黑客被捕和定罪信息的人的報酬(目前為185萬美元)。
此外,Odaily星球日報特別提示,近日X(即Twitter)上出現一些賬戶冒充Curve 官方,詐騙賬戶往往標有藍色或黃色標記,需注意防範。
APP 
