Curve攻击事件调查报告

近日Curve被攻击的起因、对DeFi生态的影响程度，以及CRV价格暴跌现在是否可以抄底等，并请关注今晚八点半美国劳工局将公布的大非农数据，防范市场波动以免造成损失。

7月31日凌晨。Curve Finance 在内的一些重要项目遭受了攻击。在12小时内超过 4500 万美元的流动性从借贷协议、合成资产 、NFT 借贷平台 JPEG'd 的池中中流失，还有近 2500 万美元从 CRV兑ETH 池中流出。初步估计Curve损失的金额高达 7000 万美元。被盗资金的一部分大约500万美元已被白帽黑客追回。

Curve是以太坊上的去中心化流动池交易所，从事稳定币与挂钩资产的互换和交易。无许可性、低门槛、可组合、流动性的低成本和管理方案的灵活性被看作是Curve的核心价值。被攻击后的CRV 价格触底至 0.5175 美元，但Curve仍持有 700 万枚 CRV（约 450 万美元）。

攻击事件发生后，CRV价格的暴跌甚至差一点导致Curve创始人在AAVE上抵押的2.92亿枚CRV约1.81亿美元资产被清算，幸好Chainlink采用的是链上链下价格的加权才避免了这场灾难。截至发稿，这场事故总共导致的损失已经超过了6000万美元，CRV的价格恢复到了0.57美元左右。

经调查，导致这次攻击的根本原因是Curve使用的编程语言Vyper的某些版本出现了漏洞，导致Curve中用这些有漏洞的语言写的资金池发生了故障，从而被黑客利用掏空了池子。由于这些池子中的资金关联到一系列DeFi项目，所以这个漏洞又连带把一系列DeFi项目拖下了水。

虽然此次针对智能合约语言层的攻击在DeFi领域很少见，但以往的DeFi世界中，像FTX的崩溃、加密友好银行的关门、Luna事件等也都在DeFi领域发生过。因此，这次事件从被攻击的编程语言角度来看，那就是区块链的综合安全程度还是太低了。

Vyper作为第二受欢迎的智能合约编程语言，和 Solidity 一样都是一种面向智能合约的编程语言，可编译为以太坊虚拟机（EVM）的字节代码运行在 EVM 上。无论它是基于Python 开发的特性、将局部变量存储在内存中而不是堆栈上，还是提供更多内置函数，对Curve而言，它都应当对基础的编程语言进行风险考核（Curve 合约较为复杂，Vyper 使得这些复杂性变得更易于管理，并进一步节省 Gas）。作为DeFi的基石，Curve项目方应预判到攻击事件带来的后果。

与此同时，另一个更让人担心的隐忧浮现出来：如果DeFi生态普遍使用的编程语言Solidity出现问题，那整个DeFi生态（Uniswap、Comp、MakerDAO、AAVE等等全部是用Solidity编写的）是不是会全军覆没？

以太坊生态的创新越来越依赖智能合约，而智能合约的安全性又远远跟不上创新的脚步，这样的发展路径会不会反而会影响生态的发展？因此我们越来越期盼以太坊生态在一边发展智能合约创新的同时，能够更多地尝试另一种路径的创新：比如ORC 20铭文技术。它只需要将数据写在链上，而执行机制可以灵活地放到链下。 这样做在安全上灵活性更大，即便出问题，补救措施也能更高效地起作用。如果铭文技术能在以太坊生态中发展起来，会极大丰富整个生态的多样性，给项目方和用户更多的选择。最终通过市场竞争让这两种创新路径找到各自最适合的应用场景。这一定会使以太坊和以太坊生态更为强大和灿烂。

最后，如果您问我这个时候趁着CRV价格暴跌是否可以加大买入CRV。

对此我认为要谨慎，虽然Curve事故的根本原因不在项目方，但Vyper是否会继续爆出其它的安全事故？这场事故是否会继续动摇人们对Curve的信心等一系列疑问目前看还是未知数。因此我不会在这个时候买入，相反我建议先暂停对它的定投。等更多的调查结果出笼，确认这只是偶然事故后，再做决定。