7 月 30 日,因Vyper部分版本(0.2.15、0.2.16和0.3.0)存在功能失效的递归锁漏洞,Curve稳定币池alETH/msETH/pETH遭遇攻击。受Curve部分稳定币池攻击事件影响,Alchemix、JPEG'd、Metronome、deBridge和Ellipsis目前累计损失约为7000万美元:
-
Alchemix:7259枚ETH和4821枚alETH(约 2200万美元);
-
JPEG'd:6106枚ETH (约1140万美元);
-
Metronome:866.554枚ETH (约160万美元),955枚smETH(约170万美元);
-
CRV-ETH pool: 1.05 万枚 ETH(约 1940 万美元), 719 万枚 CRV(约 440 万美元)。
受攻击影响,CRV价格下跌,创始人借款面临清算风险
受攻击影响,在7月31日,Curve Finance总锁仓量(TVL)已由7月30日的32.66亿美元降至 18.69亿美元,24 小时降幅为42.78%,CRV价格24小时跌幅为14.89%。
而CRV价格下跌走势迫使Curve创始人Michael Egorov在Aave上的7000万美元借款头寸面临清算风险。鉴于此,Egorov 通过OTC出售CRV,换得资金来还贷款。
自8月1日开始OTC出售以来,截止8月6日,Egorov 已累计向30家投资者/机构出售了1.4265亿枚CRV ,换得资金5706万美元。
截至 8 月 6 日,Egorov 在四个平台上仍抵押 2.698 亿枚 CRV(约合 1.66 亿美元),债务规模约为 4870 万美元。
攻击者归还资金
7月30日,漏洞利用者 coffeebabe.eth将786枚ETH(145 万美元)和955枚smETH(174万美元)归还给Metronome,将 2879枚ETH(536万美元)归还给Curve Finance;
8月3日,Curve基金会向漏洞利用者发送了链上消息,如果攻击者在 8 月 6 日上午 8 点(UTC)之前归还剩余的90%,将获得被盗资金的10%作为赏金;
8月4日,攻击者0x6ec向JPEG'd归还了 5495枚WETH (1000万美元) 并保留了610枚ETH (110万美元) 作为 10% 赏金;攻击者0xdce向 AlchemixFi 返还 2258枚ETH (415 万美元) 和 4820枚alETH (882 万美元);
8月5日,0xdce向AlchemixFi返还 4999 枚ETH(918 万美元),已全部返还;
8月6日,32%的被盗资产(约 1870 万美元)尚未归还:
-
来自 MetronomeDAO(由 coffeebabe.eth 保管)的 80枚 ETH(1.47 万美元) ;
-
来自 CRV-ETH 池的 7681枚ETH(1440 万美元)和 719万枚 CRV(443万美元)。
截止发稿,在 Curve Finance Vyper漏洞利用中被盗的5950万美元中,约4030万美元已经归还,56万美元作为黑客的赏金,约1870万美元仍未被 CRV/ETH 漏洞利用者归还(0xb752...b324)。
8月7日,Curve Finance发推称,CRV/ETH漏洞攻击者自愿归还资金的截止日期已过,将提供赏金对任何提供导致黑客被捕和定罪信息的人的报酬(目前为185万美元)。
此外,Odaily星球日报特别提示,近日X(即Twitter)上出现一些账户冒充 Curve 官方,诈骗账户往往标有蓝色或黄色标记,需注意防范。