以太坊EVM编译器Vyper递归锁故障,Curve Finance等相关协议受问题影响出现漏洞利用事件。 7 月 31 日凌晨,以太坊 EVM 编译器 Vyper 官方推特帐号发布推文表示,Vyper 版本 0.2.15、0.2.16 和 0.3.0 容易受到递归锁故障的影响,调查正在进行中,但任何依赖这些版本的项目都应立即与团队联系。随后,许多相关协议均发出推文,公告受相关问题影响出现的攻击事件,其中 Curve Finance 遭漏洞利用情况尤为严重。以下为相关事件实时时间线更新:07-30 21:43Curve 生态流动性平台 Conic Finance 完成 100 万美元融资BlockBeats 消息,7 月 30 日,Conic Finance 宣布从 Curve 创始人 Michael Egorov 处获得 100 万美元融资,本轮融资将用于支持 Conic 的开发工作。 Conic Finance 表示,在上周事件发生之前,Conic 核心团队一直与 Curve 核心贡献者密切合作,以更好地支持 Curve 生态系统并进一步发展自己。本次融资估值为 1700 万美元,出售的代币将在未来 8 个月内线性解锁。Conic 将于未来几周内公布 V2 版本的更多细节。07-30 23:36JPEG'd:pETH-ETH curve 池受到攻击,其他资产安全BlockBeats 消息,7 月 30 日,JPEG'd 官方表示,pETH-ETH curve 池受到攻击,其他 NFT 和国库资产安全。07-31 08:09Curve Finance:因 Vyper 递归锁故障,部分稳定币池遭攻击BlockBeats 消息,7 月 31 日,Curve Finance 在社交平台表示,由于递归锁出现故障,许多使用 Vyper 0.2.15 的稳定币池 (alETH/msETH/pETH) 遭到攻击。团队正在评估情况,并将随着事态发展向社区通报最新情况。crvUSD 合约和其它资金池不受影响。 此前以太坊编程语言 Vyper 发布公告称,Vyper 0.2.15、0.2.16 和 0.3.0 版本的递归锁失效,目前正在进行调查。07-31 08:11派盾:Curve Finance 攻击事件已造成 5200 万美元损失BlockBeats 消息,7 月 31 日,据派盾监测,截至目前,Curve Finance 稳定币池攻击事件已造成 Alchemix、JPEG'd、MetronomeDAO、deBridge、Ellipsis 和 CRV/ETH 池累计损失 5200 万美元。07-31 08:17受攻击事件影响,Curve Finance TVL 降幅超 24%BlockBeats 消息,7 月 31 日,据 DefiLlama 数据,受攻击事件影响,Curve Finance TVL 已由 7 月 30 日的 32.66 亿美元降至当前的 24.81 亿美元,减少 7.85 亿美元,24 小时降幅为 24.03%。07-31 08:21CRV 现报 0.6264 美元,24 小时跌幅超 11%BlockBeats 消息,7 月 31 日,据 OKX 行情信息,受攻击事件影响,CRV 于今天凌晨短时跌破 0.6 美元后小幅回升,现报 0.6264 美元,24 小时跌幅达 11.74%。07-31 08:25Alchemix:alETH/ETH 曲线池遭攻击损失约 5000 枚 ETH,Alchemix 金库资金安全BlockBeats 消息,7 月 31 日,DeFi 借贷协议 Alchemix 在社交平台表示,7 月 30 日 Curve Finance 通知 Alchemix,由于 Vyper 的一个漏洞,其 alETH/ETH 池可能被攻击。Alchemix 迅速采取行动,通过 AMO 合约从曲线池中移除 AMO 控制的流动性。Alchemix 在移除剩余流动性的过程中,alETH/ETH 曲线池被一个攻击者攻击。目前,alETH 储备损失约 5000 枚 ETH。07-31 08:31Metronome:Curve 上 msETH-ETH 池受到攻击,现已暂停主网功能BlockBeats 消息,7 月 31 日,DeFi 合成资产协议 Metronome 在社交平台表示,因 Curve 上 msETH-ETH 池受到攻击,作为预防措施,已暂停 Metronome 主网功能,以将损害降至最低。Metronome 表示,一个涉及多个 Curve 池的漏洞已被攻击,msETH-ETH 池受到攻击,攻击者从 msETH-ETH 池中盗走流动资金。任何 msUSD 交易对的流动性提供者以及在 Velodrome 上使用 msETH 的 Optimism 用户应注意,他们的头寸不受影响。 此外,Metronome 所有存款与未平仓头寸不受此次事件影响。07-31 08:35派盾:某白帽黑客向 Curve 部署地址归还 2879 枚 ETHBlockBeats 消息,7 月 31 日,据派盾监测,c0ffeebabe.eth 向 Curve 部署地址归还 2879 枚 ETH(价值约合 540 万美元)。07-31 08:38Ellipsis Finance:少数使用旧版 Vyper 编译器的 BNB 稳定池被攻击,正在评估情况BlockBeats 消息,7 月 31 日,采用 Curve 机制的 BNB Chain 生态 DEX Ellipsis Finance 发推称,少数使用旧版 Vyper 编译器的 BNB 稳定池被攻击,目前正在评估情况。07-31 08:49受攻击事件影响,pETH 和 alETH 出现较大幅度负溢价BlockBeats 消息,7 月 31 日,据 Curve Finance 页面信息,受攻击事件影响,pETH 和 alETH 出现不同程度负溢价。其中 alETH/ETH 兑换比例为 1:0.7742,pETH/ETH 兑换比例为 1:0.4513。 BlockBeats 注:pETH 是一种由 JPEG'd Protocol 发行的 ETH 衍生资产。alETH 是 Alchemix 协议中一种价格锚定 ETH 的合成资产。07-31 09:04因 CRV 价格下跌,Curve 创始人链上 CRV 抵押借贷健康率出现下降BlockBeats 消息,7 月 31 日,受攻击事件影响,CRV 价格下跌,Curve 创始人链上 CRV 抵押借贷健康率出现下降。截止发稿,其 Aave 协议上的借贷健康率为 1.72,Fraxlend 上的借贷健康率为 1.61,Abracadabra 上的借贷健康率为 1.67。 BlockBeats 此前消息,截至 6 月 15 日,Curve 创始人已将总计 4.31 亿枚 CRV(约合 2.46 亿美元)存入多个去中心化借贷平台,并借入 1.015 亿美元稳定币,包括: 通过向 Aave 存 2.884 亿枚 Curve(约 1.66 亿美元),借出 6344 万枚 USDT; 通过向 Abracadabra 存 7940 万枚 Curve(约 4565 万美元),借出 2050 万枚 MIM; 通过向 Fraxlend 存 4665 万枚 Curve(约 2682 万美元),借出 1286 万枚 FRAX; 通过向 Inverse 存 1600 万枚 Curve(约 927 万美元),借出 468 万枚 DOLA。07-31 09:09Upbit:已暂停 CRV 充值与提币服务BlockBeats 消息,7 月 31 日,韩国加密交易平台 Upbit 发布公告称,由于 Curve 部分稳定币池被攻击,导致 CRV 波动性较大,现已暂停 Curve(CRV)充值与提币服务。07-31 09:12慢雾首席信息安全官:Vyper 官方文档存在明显疏漏BlockBeats 消息,7 月 31 日,慢雾首席信息安全官 23pds 在其社交平台表示,Vyper 官方文档安装界面推荐的是一个错误的版本。 此前消息,以太坊编程语言 Vyper 发布公告称,Vyper 0.2.15、0.2.16 和 0.3.0 版本的递归锁失效,目前正在进行调查。07-31 09:27Curve 创始人于 5 小时前向 Aave 转入 1600 万枚 CRVBlockBeats 消息,7 月 31 日,链上信息显示,Curve 创始人于 5 小时前向 Aave 转入 1600 万枚 CRV(价值约合 993 万美元)。此举或旨在提升其借贷健康率。07-31 09:41CRV 链上交易价格今晨出现剧烈波动,瞬时价格曾接近归零BlockBeats 消息,7 月 31 日,据 dexscreener 信息显示,今天凌晨,CRV 在多个 DEX 上交易价格出现剧烈波动,瞬时价格曾接近归零。以 Uniswap 为例,今晨 3:05 至 3:15 期间 CRV 出现较大抛盘,其瞬时价格或因流动性原因接近归零,后迅速反弹。07-31 10:25Curve 攻击者地址目前持有超 440 万美元 CRV 和 7680 枚 WETHBlockBeats 消息,7 月 31 日,链上信息显示,Curve 攻击者地址目前持有 719.3 万枚 CRV(价值约合 443.1 万美元)和 7680 枚 WETH(价值约合 1437 万美元)。07-31 10:30因 Curve 事件引发抢跑,今日产生以太坊史上最大 MEV 奖励区块BlockBeats 消息,7 月 31 日,以太坊核心开发者、EIP-1559 联合作者 eric.eth 于社交平台表示,今日产生了以太坊历史上一些最大的 MEV 奖励区块。其中 Slot 6,992,273 获得 584 枚 ETH 奖励;Slot 6,993,342 获得 345 枚 ETH 奖励;Slot 6,992,050 获得 247 枚 ETH 奖励;Slot 6,993,346 获得 51 枚 ETH 奖励。eric.eth 称,Curve 发生黑客攻击。一个机器人注意到 MEV 池中有黑客入侵,复制了 tx 并抢跑。为此,他们向区块生产者支付大量 ETH,以实现抢跑。07-31 12:41吴忌寒:CRV 是 RWA 浪潮中最重要资产之一,已抄底买入BlockBeats 消息,7 月 31 日,比特大陆和 Matrixport 联合创始人吴忌寒在社交媒体上发文表示:「在即将到来的 RWA 浪潮中,CRV 是最重要的基础设施之一。我已抄底买入,不构成财务建议。」07-31 16:14Curve:crv/eth、aleth/eth 等池被黑客攻击,Arbitrum 的 tricrypto 也可能受影响BlockBeats 消息,7 月 31 日,Curve Finance 发文表示,由于版本 0.2.15-0.3.0 中的 Vyper 编译器存在问题,以下池被黑客攻击:crv/eth、aleth/eth、mseth/eth、peth/eth。另一个可能受影响的矿池是 Arbitrum 的 tricrypto。审计人员和 Vyper 开发人员找不到有利可图的漏洞,但也请退出使用。07-31 16:46Vyper 贡献者:有理由怀疑由国家支持的黑客参与 Curve 攻击事件BlockBeats 消息,7 月 31 日,智能合约语言 Vyper 贡献者 @fubuloubu 针对「Curve 黑客攻击事件」表示,「找到该漏洞需要几周到几个月的时间,也许是由一个小团体或团队进行的。我们可能很快就会找到更多信息,但考虑到投入的资源,我认为有理由怀疑国家支持的黑客可能参与其中。」「目前只有两个编译器最佳,Vyper 的代码库更小,更容易阅读,对其历史进行分析的更改也更少,这可能就是黑客从这里下手的原因,Solidity 的代码库要更大一些。其次,编译器并没有像大家想象的那样受到审查或审计。大多数编译器都会进行重大且频繁的更改,这不利于审计。所有这些都指向最后一个问题:激励问题,即,没有人有动力去寻找编译器中的关键漏洞,尤其是旧版本。但这并不是 Vyper 或 Curve 的终结,我们必须团结起来解决这些类型的公共产品问题,就我个人而言,此前提出过一个提案,该提案将通过添加由用户共同赞助的赏金计划来帮助改进 Vyper。」07-31 17:11Bithumb 上 CRV 出现大幅度溢价,溢价率超 560%BlockBeats 消息,7 月 31 日,韩国加密交易平台 Bithumb 上 CRV 出现大幅度溢价,现报价 6230 韩元,约合 4.89 美元。另据行情数据显示,当前 CRV 价格为 0.641 美元,24 小时跌幅达 12.43%,溢价率已超 560%。今日早些时候,由于 Curve 部分稳定币池被攻击,导致 CRV 波动性较大,Upbit 和 Bithumb 宣布暂时停止 CRV 充值和提现。08-01 08:14CRV 现报 0.5596 美元,24 小时跌幅超 8%BlockBeats 消息,8 月 1 日,据 OKX 行情信息,受攻击事件影响,CRV 价格持续下跌,现报 0.5596 美元,24 小时跌幅达 8.53%。08-01 10:30Curve 创始人建立针对 CRV/FRAX 市场的流动性池 crvUSD/fFRAXBlockBeats 消息,8 月 1 日,Curve 页面显示,Curve 创始人创建了针对 FraxLend 上 CRV/FRAX 市场的流动性池 crvUSD/fFRAX,当前交易量达 53 万美元。08-01 11:20Curve 创始人在 Fraxlend 上的资金利用率为 99.99%,贷款利率每 12 小时就将翻倍BlockBeats 消息,8 月 1 日,据加密研究机构 Delphi Digital 分析,Curve 创始人 Egorov 目前在 Aave 平台上,拥有 3.05 亿美元的 CRV 作为抵押,借出了 6320 万美元的 USDT。在 55% 的清算阈值下,他的借贷头寸可能会在 CRV/USDT 汇率为 0.3767 时被清算。这只需要 CRV 价格下跌约 33% 就可能发生清算。此外,他还需要支付大约 4% 的年化利率作为此次借贷的费用。在 Frax Finance 拥有 5900 万美元 CRV 头寸,而其债务为 1580 万美元。尽管这个借贷比例相对较低,但由于 Fraxlend 的时间加权可变利率,对 CRV 的风险较大。当资金利用率为 100% 时,贷款利率每 12 小时就会翻倍。据 Fraxlend 最新数据,目前 CRV 池资金利用率为 99.99%,贷款利率为 105.2223%,但预计仅 3.5 天后即可升至最高近 10,000% APY。08-01 11:35CRV 下行跌破 0.5 美元,24 小时跌超 20%BlockBeats 消息,8 月 1 日,据 OKX 行情数据显示,CRV 下行跌破 0.5 美元,现报价 0.495 美元,24 小时跌幅达 20.55%。08-01 11:54Curve 创始人的贷款头寸健康率在各平台均出现下跌BlockBeats 消息,8 月 1 日,受 CRV 价格下跌影响,Curve 创始人 Egorov 的贷款头寸健康率目前在各个平台均出现下跌,其中:在 Aave V2 上的贷款抵押品价值约合 1.538 亿美元,健康率为 1.33;在 Abracadabra 上的两笔贷款抵押品分别约合 2517 万美元、680 万美元,健康率分别为 1.33 和 1.31;在 Fraxlend 上的贷款抵押品约合 2981 万美元,健康率为 1.29;在 Inverse 上的两笔贷款抵押品分别约合 1267 万美元、406 万美元,健康率分别为 1.26 和 1.16;在 Curve Stablecoin 上的两笔贷款抵押品分别约合 85 万美元、70 万美元,健康率分别为 1.09 和 1.12;在 Silo 上的贷款抵押品约合 118 万美元,健康率为 1.62。当健康率小于或等于 1 时,资产将被清算。 ETHCurveCRVVyper 精选观点 0xSifu(Frog Nation前CFO):Curve 创始人今日通过OTC卖出的CRV存在6个月锁定期。(来源:Twitter) BlockBeats:8 月 1 日,被标记为「Justin Sun」的地址向 Curve 创始人地址转入 200 万枚 USDT。之后 Curve 创始人向 Justin Sun 地址转入 500 万枚 CRV。Curve 创始人或正以 0.4 美元均价进行 CRV 场外交易。 吴忌寒(比特大陆和 Matrixport 联合创始人):「在即将到来的 RWA 浪潮中,CRV 是最重要的基础设施之一。我已抄底买入,不构成财务建议。」(来源:Twitter)