Curve被黑，损失超7000万美元，CRV价格暴跌

Curve昨晚被黑客发现漏洞、相关协议损失超过7000万美元，也使得Curve协议TVL斩腰。消息一出，链上恐慌性抛售，$CRV链上价格一度跌至$0.08，让套利者与MEV机器人赚的盆满钵满，也造成以太坊历史上最大奖励区块－584枚ETH。 Chainlink没有把这个价格带入链上其他借贷协议如Aave，否则整个系统性风险可能会让Defi回到史前时代。这件事其实说大也很大，编辑器的漏洞直接威胁到整个以太坊生态的DeFi，如果所有项目都更新了这几个版本，那么这将对于DeFi来讲是巨大的灾难。

​编辑切换为居中

我们大概来梳理下本次事件经过2023年7月31日，Curve Finance的多个池子遭到了攻击，其中包括msUSD/3Crv池和msETH/ETH池。攻击者利用了Curve的一个漏洞，通过这个漏洞，攻击者可以以低于市场价格的价格从Curve的池子中取出资产。这次攻击导致Curve的TVL（总锁定价值）大幅度下降。在攻击发生后，Curve Finance的团队迅速响应，他们暂停了所有的交易并开始调查这次攻击的原因。同时，他们也开始寻找解决方案，以防止类似的攻击再次发生。 同时，DeFi合成资产协议Metronome也因为Curve上msETH-ETH池受到攻击，作为预防措施，已暂停Metronome主网功能，以将损害降至最低。在攻击发生后的一段时间，一名白帽黑客向Curve部署地址归还了2879枚ETH，这部分ETH的价值约为540万美元。 Curve为什么会被攻击？Curve是一个去中心化交易所，主要用于在不同稳定币之间进行交易。Curve的代码是用一个叫Vyper的编程语言写的。这种语言的一个版本（0.2.15）存在一个问题：重入锁失效。这是什么意思呢？在智能合约中，"重入"指在一个函数执行的过程中，相同的函数被再次调用。这可能会导致一些问题。 例如，假设你有一个函数，其目的是先从你的账户中扣除一些钱，然后再进行一些其他的操作。如果在这个函数还没完成的情况下，被再次调用了，那么可能出现你的账户的钱被扣除两次，但其他操作只执行一次。这是因为第二次调用的函数可能会在第一次调用的函数完成之前执行，导致了这种"重入"的问题。 为了解决这个问题，程序员通常会在代码中加入一种叫"重入锁"的机制，防止一个函数在还没完成情况下被再次调用。但Vyper 0.2.15这个版本重入锁机制出现问题，导致这个版本的智能合约不能正确地防止重入攻击。在这次的事件中，Curve的几个稳定币池（pETH, alETH, msETH）因为使用了这个有问题的Vyper版本，而遭受了重入攻击。攻击者可以在函数未完成的情况下多次调用函数，从而在没有支付足够费用的情况下提取出更多的资金，导致了这些稳定币池的资金流出，对应的稳定币价格暴跌。除此之外，由于Curve的CRV-ETH池也被攻击，Curve的代币CRV的价格在一段时间内跌至0.08美元。这引发了一场恐慌，导致Curve在很短的时间内失去了大量的资金（TVL，总锁定价值）。 尽管如此，Curve的创始人Michael Egorov的仓位并未被清算。清算通常是当某个债务方的担保资产价值低于其债务时发生的。 在这个情况下，虽然CRV的价格短暂下跌，但是由于AAVE的价格来源于Chainlink，而Chainlink并没有反应这种异常价格，所以Michael Egorov的仓位没有被清算。目前这些就是Curve上的全部经过，因为受到攻击影响，CRV价格也出现了剧烈的波动，大家注意安全。在加密行业你想抓住下一波牛市机会你得有一个优质圈子，大家就能抱团取暖，保持洞察力。如果只是你一个人，四顾茫然，发现一个人都没有，想在这个行业里面坚持下来其实是很难的。想抱团取暖，或者有疑惑的，欢迎加入我们——公众号：币然之路感谢阅读，我们下期再见！