事件經過
7 月 30日 21:34,PeckShield 監測到 NFT 借貸協議 JPEGd 遭到只讀重入攻擊。目前 Curve 上 pETH-ETH pool 中 pETH 價格跌至$383。pETH 是一種由 JPEGd 發推表示,pETH-ETH curve 池遭到攻擊,允許借貸 NFT 的保險庫合約仍然安全且運行穩定,NFT 和國庫資產未受影響。
22:50 msETH-ETH 被攻擊。
23:34 alETH-ETH 被攻擊。
7 月 31 日 0:44以太坊編程語言 Vyper 發推表示,Vyper 0.2.15、0.2.16 和0.3.0版本的重入鎖失效。
0:45 Curve 官方推特發文表示,由於重入鎖出現故障,許多使用 Vyper 0.2.15 的穩定幣池(alETH/msETH/pETH)遭到攻擊,其他池是安全的。
0:57 派盾統計受此影響,DeFi 借貸協議 Alchemix、NFT 借貸協議 JPEG'd、DeFi 合成資產協議 MetronomeDAO、跨鏈橋 deBridge 和採用 Curve 機制的 BNB Chain上DEX 項目 Ellipsis 累計損失超 2676 萬美元。
2:46 Metronome 發文稱作爲預防措施,已暫停 Metronome 主網功能。
3:08 CRV-ETH 被攻擊,鏈上 CRV最低跌到0.08左右,但由於 AAVE 的價格取自 Chainlink,後者並沒把異常價格體現,使得 Curve 創始人 Michael Egorov 在 AAVE 的倉位未被清算。
據@Super4DeFi,在此期間有套利者以0.1ETH 購买了 600 alETH 和用 4 ETH 購买了 1200 alETH,Alchemix 官方發布聲明稱 alETH -ETH 池子損失 5000 ETH,當前 alETH =0.7ETH。OlympusDAO 脫離 fraxBP,將國庫穩定幣轉換成 1800玩枚 DAI,存入 DSR 中,其余 700萬枚 USDC 准備也換爲 DAI。
7:26 派盾再次統計該安全事件損失已超 5195 萬美元。
7:50 CRV/ETH Pool 搶跑的 Mev Bot 部署者 c0ffeebabe.eth向 Curve Finance 部署者返還了 2,879.54 ETH,價值約 539 萬美元。
9:37 韓國最大交易所 Upbit 發布公告稱,由於 Curve 部分穩定幣池被攻擊,導致 CRV 波動性較大,現已暫停 Curve(CRV)充值與提幣服務。
其他影響
據 defillama 數據,Curve Finance TVL 24 小時減少 43.6%,目前爲 18.4 億美元;Convex Finance TVL 24 小時減少 48.5%,目前爲 149 億美元。
Aave 以太坊 v2 版本已經禁用 CRV 借款功能(可能是爲了防止交易者利用 Curve 漏洞事件恐慌,借幣 CRV 惡意做空促使連環清算)。根據此前 Aave 治理通過的提案 AIP-125,面對一些突發事件,協議可以禁止特定資產的借款功能。目前在 Aave v2 中有超過 3 億枚 CRV 供應(約 95%來自 CRV 創始人 Michwill 的供應),僅有約 3500萬枚 CRV 已借出。
當前 Aave 中諸如 USDC、USDT 和 DAI 等標的物存借貸 APY 發生顯著上升,當前 USDC 存借貸 APY 仍超過 20%,USDT 超過 25%。由於攻擊 Curve 黑客(0xb1...c148)從中獲利了價值 460萬美元的 7,193,402 CRV,用戶對於 Curve 創始人 Michwill 巨額 CRV 清算以及產生的連鎖反應仍表擔憂(鏈上 CRV一度跌至$0.08,但 Chainlink 預言機未反饋在內,因而未觸發清算)。
目前 Michwill 在 Aave v2 有 293,020,675 CRV 擔保物(1.87 億美元)和 59,674,100 USDT 債務,清算线約$0.37;Fraxlend 中有 71,107,195 CRV 擔保物(4,4546 萬美元)和 21,337,989 FRAX 債務(2130萬美元),清算线約$0.4;在 Abracadabra 中有 63,404,437 CRV 擔保物(3,190萬美元)和 18,787,110 MIM 債務,清算线約$0.39;Inverse 中有 25,128,033 CRV 擔保物(1,600萬美元)和 7,689,209 DOLA 債務,清算线約$0.4。在近 6 小時,Michwill 已陸續進行了部分債務的清償。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。