去中心化交易所漏洞和黑客攻击事件盘点
就在上周,大家都在讨论去中心化Curve交易所的黑客事件。现在一切似乎都更好了,但我们仍然应该仔细研究漏洞利用的细节,尝试从中吸取哪些教训。
事件概述
2023 年 7 月下旬,Curve Finance DeFi 协议已被利用。正如其开发人员所证实的那样,由于 Vyper智能合约编程语言中的漏洞,欺诈者获得了平台池中的资产。该漏洞允许攻击者创建无需用户授权即可执行交易的智能合约。有关安全系统突破的信息发布在协议的微博上。
Curve Finance 的漏洞使欺诈者能够获取价值超过 4700 万美元的资产。此外,Vyper 的问题使得攻击者能够对币安加密货币交易区块链——BNB智能链(BSC)进行类似的攻击,并从中提取价值 73,000 美元的资产。
Curve Finance到底发生了什么?
Curve Finance 经历了一次重大黑客攻击,该黑客攻击分两个阶段发生。最初,黑客因可重入漏洞窃取了大约 2600 万美元。接下来是第二阶段的攻击,其中 710 万个CRV(440 万美元)和 7,680 个Wrapped Ether(1437 万美元)从 CRV-ETH Curve Finance 池中被撤回。
黑客能够利用过时的 Vyper 编程语言版本中的漏洞。结果,TVL 从 32.6 亿美元下降至 17.2 亿美元,24 小时内下降了近 46%。
什么是Vyper?
Vyper 是一种面向合约、基于 Python 的编程语言,专为以太坊虚拟机设计。开发人员已发现重入漏洞存在于版本 0.2.15、0.2.16 和 0.3.0 中。
据Ancilia 分析师称,大约 460 个协议利用了易受攻击的软件。
根据 Curve 的调查,一些代码编译器错误地实现了重新登录保护,从而通过阻止合约来阻止多个功能同时执行。此错误允许攻击者从多个项目中提取资金。
Curve DeFi 项目,包括 JPEG、MetronomeDAO、deBridge 和Ellipsis,都受到了攻击的影响。损失最多的矿池是alETH-ETH Alchemix,价值1360万美元。
价格影响
根据DeFi Llama 的数据,Curve Finance 每天的锁定总价值几乎减半——从 325 万美元降至 173 万美元。
由于这次攻击,原生 Curve Finance (CRV) 代币的价值下降了 14%,尽管现在已经恢复。
加密平台Matrixport的创始人Jihan Wu表达了对该项目的支持,并表示他已在秋季购买了CRV代币。在他看来,Curve Finance是即将到来的大规模实物资产代币化浪潮中最重要的基础设施之一。
韩国最大交易所 Upbit宣布,由于遭受攻击,CRV 波动性增加。因此,该平台暂停了所有代币充值和提现。
Kaiko 研究总监 Clara Medalie 表示:“流动性下降对市场来说从来都不是一件好事,尤其是稳定币,因为它们需要在非常窄的区间内交易。”
对 DeFi 行业的影响
事件发生时,超过 450 个流动性池正在使用易受攻击的 Vyper 版本。因此,受害者人数和损失程度可能会更高。
该事件影响了Alchemix、JPEG、MetronomeDAO、Ellipsis 和 deBridge 项目。
受影响最严重的矿池是:
- pETH/ ETH,伤害为 6106.65 WETH;
- msETH/ETH - 866.55 WETH~ 160 万美元) 和 959.71 msETH
- alETH/ETH - 7258.7 WETH~百万) 和 4821.55;
- CRV/ETH - 7,193,401.77 CRV~事件发生时510万美元)、7680.49 WETH~1420万美元)和2879.65 ETH
此外,Arbitrum Tri-Crypto 池可能会受到影响。Vyper 审计人员和开发人员无法确认该漏洞,但 Curve 团队建议流动性提供者退出,以防万一。
尽管不可能实施紧急DAO措施来停止资金池或影响用户资金,但暂停额外 CRV 的排放是可行的。Curve Finance 创始人 Michael Egorov 向彭博社表示,DeFi 行业将在此次黑客攻击中幸存下来。
媒体和社区反应
加剧事件的推文
在黑客攻击后的最初几分钟内,BlockSec 和 PeckShieldAlert 的分析师在社交网络 X(以前称为 Twitter)上分享了开源 Vyper 编译器的摘录。这些摘录揭示了该漏洞的具体细节。
这些推文为第三方黑客“加入黑客行列”提供了机会,使情况变得更加恶化。此类行为遭到社区谴责,原帖已被删除。
在面临一波批评后,BlockSec 代表回应称,他们决定发布包含攻击细节的推文是因为迫切需要及时向社区发出警报,因为无法联系到 Curve Finance 团队。
至少部分由于 Twitter 活动,泳池成为多个窃贼的目标。然而,其中有“白帽”黑客,该项目通过他们追回了一些被盗资金。白帽(White Hat)以 c0ffeebabe.eth 的昵称运营,向去中心化金融协议(DeFi)Curve Finance 返还了 2,879 ETH(价值约 540 万美元)。在利用过程中,资金从 CRV-ETH 流动性池中转移。
使用 MEV 机器人,防御者能够领先于攻击者,保护了 2879 ETH。根据最新数据,他后来将这笔钱退还给了 Curve。
然而,返还的金额仅占赃款总额的一小部分。总的来说,Curve Finance 的漏洞使欺诈者能够获取价值超过 4700 万美元的资产。此外,Vyper 中的漏洞允许攻击者对币安加密货币交易所的区块链 - BNB 智能链(BSC)进行类似的攻击。
社区成员的意见
一般来说,事件发生时,据说这种情况可能会导致前所未有的恐慌和 DeFi 领域的流动性下降。然而,Curve Finance 的事情似乎又回到了正轨。编译器问题现已解决。开发人员澄清说,攻击者必须“彻底调查”版本历史记录才能发现这个(不是立即明显的)问题。
摩根大通分析师得出的结论是,Curve 攻击对 DeFi 生态系统的影响似乎是局部的。
一位绰号为 Ignas 的 DeFi 研究人员表示,Curve Finance 事件“削弱了人们对去中心化金融的信心”。
“如果一个已经运行了三年没有问题的协议突然遇到漏洞,就会引起人们对其他成熟平台(如 AAVE、Compound甚至Uniswap)安全性的担忧。” 他补充说,由于 Uniswap v4 智能合约的整体设计,黑客入侵会带来重大风险,因为所有资产都会立即变得脆弱。
Ignas 指出,一些协议的合成资产依赖于 CRV 代币的流动性,可能欠用户债务。他特别提到了 CRV、AAVE、Frax和 Abracadabra 在袭击发生后总计 1 亿美元的清算。此外,在他看来,该事件可能会减缓机构 DeFi 的采用。
与此同时,MakerDAO 联合创始人 Rune Christensen认为,近期 Curve Finance 的漏洞将是加密货币市场出现新增长之前的“最终崩溃”。Nostra 创始人 David Garay同意他的观点:“当贷款协议最终开始主动监控每种特定类型抵押品的在线流动性时,这也可能是一个转折点。”
Curve Hacker 归还部分被盗资产
Curve Finance 悬赏 185 万美元,奖励找出入侵该平台的黑客并将他们绳之以法。很快,一名身份不明的黑客发起了退款。截至撰写本文时,他已归还价值超过 2000 万美元的资产。
在有关交易的消息中,黑客解释说,他的决定并不是因为担心被抓。相反,这是因为他不愿意破坏该项目。JPEG 项目还确认返还 5,494 WETH(超过 1000 万美元)。黑客获得了 10% 的奖励,即 610.6 WETH(110 万美元)。
结论
鉴于 CRV 作为抵押资产的广泛使用,级联清算可能会给 DeFi 行业带来重大挑战。该行业尚未从长期熊市中完全恢复。
但开发人员似乎已经遏制了这次黑客攻击造成的损害。此外,Curve 首席执行官米哈伊尔·叶戈罗夫 (Mikhail Egorov) 亲自处理此事,清算其资产以偿还债务并避免 DeFi 崩溃。
不幸的是,并非所有加密货币故事都有积极的结局。Certi K表示,仅 2023 年第二季度,就发生了价值 3.136 亿美元的盗窃案。其中,只有不到一半被归还,大部分犯罪行为尚未侦破。