由于智能合約編程語(yǔ)言Vyper的部分版本存在嚴(yán)重漏洞，以穩(wěn)定幣交易聞名的的去中心化交易所Curve Finance昨日清晨遭黑，累積損失金額預(yù)估高達(dá)7000萬(wàn)美元，不少DeFi協(xié)議遭遇重創(chuàng)。

據(jù)悉，本次漏洞源于Vyper語(yǔ)言版本0.2.15至0.3.0之間的重入鎖機(jī)制失效。對(duì)于區(qū)塊鏈項(xiàng)目來(lái)說(shuō)，重入鎖功能失效問(wèn)題可能會(huì)導(dǎo)致合約的執(zhí)行流程被打斷或者產(chǎn)生不可預(yù)期的結(jié)果，從而影響整個(gè)系統(tǒng)的穩(wěn)定性。

Curve運(yùn)營(yíng)著232個(gè)不同的池，其團(tuán)隊(duì)成員mimaklas在Discord上宣布，只有使用Vyper0.2.15、0.2.16和0.3.0版本的池存在風(fēng)險(xiǎn)，其他池子是安全的。mimaklas表示，“所有受影響的池已經(jīng)被抽空或白帽黑客攻擊，團(tuán)隊(duì)正在與受影響的團(tuán)隊(duì)評(píng)估情況?！?/p>

據(jù)區(qū)塊鏈技術(shù)安全公司派盾（Peck Shield）統(tǒng)計(jì)，此次重入攻擊事件已造成約5200萬(wàn)美元的損失。其中，Curve的CRV/ETH池被盜走了價(jià)值約2500萬(wàn)美元的資金，Alchemix（alETH發(fā)行方）、JPEG'd（pETH發(fā)行方）、Metronome（msETH發(fā)行方）等其他使用Curve池機(jī)制的DeFi項(xiàng)目也遭到了類似的攻擊，損失了價(jià)值約2700萬(wàn)美元。

需要強(qiáng)調(diào)的是，并非所有攻擊者都是惡意的，部分白帽黑客和MEVBot（最大可提取價(jià)值機(jī)器人）將盜取的資金返還給了受影響的項(xiàng)目，以減輕他們的損失。例如，CRV/ETH池被攻擊后，一個(gè)MEV機(jī)器人部署者向Curve部署者返還了價(jià)值約539萬(wàn)美元的2879.54ETH。

由于此次事件，Curve原生CRV代幣在各交易所遭受閃崩，價(jià)格暴跌86%，從4.5美元跌至0.6美元。然而鏈上數(shù)據(jù)顯示，攻擊者還沒(méi)有開(kāi)始出售他們盜取的價(jià)值約450萬(wàn)美元的CRV，因此價(jià)格可能還會(huì)進(jìn)一步下跌。

為應(yīng)對(duì)危機(jī)，Curve創(chuàng)始人邁克爾·埃戈羅夫（Michael Egorov）在Aave、Fraxlend、Abracadabra和Inverse Finance等頂級(jí)借貸協(xié)議上，使用了價(jià)值超過(guò)1億美元的CRV代幣作為抵押物，借入了大量的穩(wěn)定幣。

然而，一旦CRV的價(jià)格跌破清算線，不僅會(huì)使Curve創(chuàng)始人的借款頭寸被清算，Aave和其他借貸協(xié)議也將面臨巨大的壞賬損失，從而進(jìn)一步加劇混亂局面。目前，為了防止CRV的價(jià)格波動(dòng)導(dǎo)致的連鎖清算，Aave和其他協(xié)議已經(jīng)暫停了CRV的借款功能，并提高了借貸費(fèi)用。

一位名為Ignas的DeFi研究員表示，Curve Finance漏洞“動(dòng)搖了人們對(duì)DeFi的信心”，如果一個(gè)運(yùn)行了三年沒(méi)有問(wèn)題的協(xié)議被利用，這會(huì)讓人們質(zhì)疑Aave、Compound甚至Uniswap等其他藍(lán)籌協(xié)議的安全性，加密用戶已經(jīng)擔(dān)心Uniswap v4具有單一的智能合約設(shè)計(jì)，如果遭到黑客攻擊，風(fēng)險(xiǎn)會(huì)更大，因?yàn)樗匈Y金都會(huì)立即受到攻擊。Ignas表示，黑客利用的是Vyper編譯器，而不是Curve的智能合約本身，這一點(diǎn)令人擔(dān)憂，因?yàn)楝F(xiàn)在用Vyper編譯的任何協(xié)議都可能面臨風(fēng)險(xiǎn)。

Lens Protocol創(chuàng)始人Stani創(chuàng)始人就Curve事件發(fā)表的看法非常中肯。他指出，雖然DeFi是面向所有人開(kāi)放的，但建立具有韌性的DeFi系統(tǒng)確實(shí)非常困難且充滿風(fēng)險(xiǎn)。在Curve的案例中，他們?cè)趨f(xié)議層面做得非常出色，但Vyper編譯器出現(xiàn)問(wèn)題導(dǎo)致整個(gè)DeFi生態(tài)系統(tǒng)面臨風(fēng)險(xiǎn)，包括底層技術(shù)堆棧和以太坊虛擬機(jī)（EVM）等。

他還提到，盡管此次事件造成了一定損失，Curve社區(qū)還是能夠妥善處理，并且一些攻擊者或MEV機(jī)器人已經(jīng)將部分被盜資金歸還給Curve。這顯示出DeFi社區(qū)的共識(shí)和合作精神。

最后，Stani強(qiáng)調(diào)了一個(gè)重要觀點(diǎn)，那就是DeFi賦予了公眾知情權(quán)，但同時(shí)也容易受到不正確信息的影響，例如關(guān)于被盜金額和受影響協(xié)議的不準(zhǔn)確信息，這可能導(dǎo)致不必要的恐慌和擔(dān)憂。

總結(jié)

Curve作為DeFi領(lǐng)域最重要的去中心化交易所之一，擁有龐大的流動(dòng)性和用戶基礎(chǔ)，其重要性和影響力不言而喻。因此，此次攻擊事件除了為智能合約的安全性敲響警鐘，后續(xù)所引發(fā)的價(jià)格波動(dòng)、流動(dòng)性變差、壞賬出現(xiàn)等連鎖反應(yīng)或?qū)?duì)整個(gè)DeFi領(lǐng)域產(chǎn)生難以估量的影響，可能進(jìn)一步加速監(jiān)管機(jī)構(gòu)介入DeFi領(lǐng)域的步伐，以保護(hù)用戶利益、降低市場(chǎng)風(fēng)險(xiǎn)并維護(hù)金融穩(wěn)定。