Curve-Vyper 漏洞利用：到目前为止的整个故事

一场地震安全事件导致 Curve Finance 池中超过 6100 万美元被盗，导致多个协议面临更广泛的蔓延风险，去中心化金融 (DeFi) 生态系统经历了充满挑战的一周。

这次攻击暴露了 DeFi 项目的漏洞，并引发了过去几天追回被盗资金的努力。

在社区应对这一漏洞的后果时，Cointelegraph 整理了本周的事件，提供了自 7 月 30 日黑客攻击以来所发生事件的时间表。

黑客攻击：由于可重入漏洞，Curve Finance 资金池被利用超过 6100 万美元

Curve Finance 上使用 Vyper 编程语言的几个稳定矿池于 7 月 30 日被利用，损失超过 6100 万美元（总损失最初估计为 4700 万美元）。该漏洞是在 Vyper 0.2.15、0.2.16 和 0.3.0 版本中发现的。

Curve 的 Michael Egorov 证实 7 月 30 日 3200 万个 Curve DAO 代币被盗。来源：Telegram/LobsterDAO

由于同样的漏洞，BNB 智能链（BSC） 也成为模仿攻击的受害者，BSC 上价值约 73,000 美元的加密货币通过三个漏洞被盗。

自从该漏洞的消息曝光以来，白帽和黑帽黑客一直在链上展开较量，试图破坏彼此的漏洞尝试或追回资金的努力。

初步调查发现，某些版本的 Vyper 编译器没有正确实现重入保护，该保护通过锁定合约来防止多个函数同时执行。

影响：Vyper 漏洞使 DeFi 生态系统面临压力测试；CRV价格暴跌

该安全事件使 DeFi 协议 在接下来的几天内接受了压力测试，引发了人们对该漏洞对加密生态系统影响的担忧，特别是因为该漏洞可能使所有包含Wrapped ETHer (WETH)的池面临受到攻击的风险。

Vyper 是一种专为以太坊虚拟机设计的合约编程语言。它被认为是使用最广泛的 Web3 编程语言之一，这意味着它的三个版本中的错误可能会威胁到其他几个协议。

Curve 首席执行官急于支付抵押贷款

其他地方的威胁也可能对整个 DeFi 产生连锁反应。Curve Finance 创始人Michael Egorov拥有约 1 亿美元的贷款，由该协议原生代币 CRV 流通量的 47% 提供支持。

然而，由于担心 Egorov 的抵押贷款将被清算，CRV 价格在黑客攻击后下跌了近 30%，跌至 0.48 美元的低点。

为了减少债务状况，Egorov向几位著名的 DeFi 投资者出售了 3925 万枚 CRV 代币，其中包括 Justin Sun、Machi Big Brother 和 DWF Labs，总价值为 1580 万美元。买家以每个代币 0.40 美元的价格购买 CRV，比当时的市场价格有 25% 的折扣。此外，叶戈罗夫还支付了 Aave 和 Frax Finance 的两笔贷款的部分款项。

CEX 喂价可防止曲线价格崩溃

由于多个矿池的大量流失，CRV 代币价格在 DeFi 市场暴跌；然而，它最终被中心化交易所（CEX）价格供给挽救了。CRV 价格在 DEX 上触及 0.086 美元，但在 CEX 上交易价格为 0.60 美元，防止了代币价格暴跌至零。 

这一具有讽刺意味的事件引起了币安首席执行官赵长鹏的注意，他笑道，最终是 CEX 的喂价拯救了 DeFi 协议。

为了应对不确定的环境，Curve 的原生稳定币 crvUSD于 8 月 3 日短暂脱钩。这种算法稳定币在重新与美元挂钩之前下跌了 0.35%。最近推出的 crvUSD 使用一种称为 PegKeeper 算法的锚定机制，确保 crvUSD 价值得到抵押品的适当支持，同时平衡供需。

DeFi 社区：道德黑客利用 Curve Finance 取回 540 万美元

危机期间，DeFi 社区与 Curve Finance 站在一起。7 月 31 日，一名白帽黑客成功 从漏洞利用者处取回了约 2,879 个以太币，价值约 540 万美元，并将这些 ETH 返还给了 Curve Finance。几小时后，另一名道德黑客夺取了近 3,000 个 ETH，并将 ETH 返还至 Curve 的部署者地址。

由于担心 Egorov 的贷款会被清算，火币联合创始人杜军以400 万美元的价格从 Curve 首席执行官手中购买了 1000 万个 CRV 。此外，Aave Chan 创始人 Marc Zeller提议 Aave Treasury从该协议购买价值 200 万美元的 CRV 代币。根据该提案，此次收购将表明 DeFi 参与者支持生态系统的健康。 

跨链借贷平台 Abracadabra Money 还提议提高其未偿还贷款的利率，以管理与 CRV 敞口相关的风险。 

资金返还：Curve、Metronome 和 Alchemix 提供 10% 的 bug 赏金；黑客拿走了它

8 月 3 日，Curve、Metronome 和 Alchemix 联合宣布了一项计划，旨在追回最近因 Curve 矿池漏洞而被盗的资金。该协议提供了所扣押资金 10% 的赏金作为奖励，敦促那些对漏洞负责的人站出来返还剩余的 90%，这将使赏金接近 700 万美元。

该要约附带保证不会采取进一步的法律行动或涉及执法部门。“我们希望以文明的方式解决这个问题，”协议在给黑客的信中写道。

8 月 4 日，不到 24 小时，发起这一价值数百万美元漏洞的最初攻击者显然接受了赏金，并开始返还几天前被盗的资金。黑客向 Alchemix Finance 团队返还 4,820.55 个 Alchemix ETH (alETH)，价值约 8,889,118 美元，并向 Curve Finance 团队返还 1 ETH，约 1,844 美元。几个小时后，即 8 月 5 日，他们完成了将所有被盗资金返还给Alchemix和JPEGd的工作。 

攻击者还发布了一条似乎是针对 Alchemix 和 Curve 团队的消息，声称愿意归还资金，但这只是因为该人不想“破坏”所涉及的项目，而不是因为攻击者被抓获。

漏洞利用者于 8 月 4 日向协议发送的消息。来源：Etherscan