7 月 30 日,因 Vyper 部分版本(0.2.15、 0.2.16 和 0.3.0)存在功能失效的遞歸鎖漏洞, Curve 穩定幣池 alETH/msETH/pETH 遭遇攻擊。受 Curve 部分穩定幣池攻擊事件影響, Alchemix 、JPEG’d、 Metronome 、 deBridge 和 Ellipsis 目前纍計損失約為 7000 萬美元:
Alchemix: 7259 枚 ETH 和 4821 枚 alETH(約 2200 萬美元);
JPEG’d: 6106 枚 ETH (約 1140 萬美元);
Metronome: 866.554 枚 ETH (約 160 萬美元), 955 枚 smETH(約 170 萬美元);
CRV -ETH pool: 1.05 萬枚 ETH(約 1940 萬美元), 719 萬枚 CRV(約 440 萬美元)。
受攻擊影響,CRV 價格下跌,創始人借款面臨清算風險
受攻擊影響,在 7 月 31 日,Curve Finance 總鎖倉量(TVL)已由 7 月 30 日的 32.66 億美元降至 18.69 億美元, 24 小時降幅為 42.78% ,CRV 價格 24 小時跌幅為 14.89% 。
而 CRV 價格下跌走勢迫使 Curve 創始人 Michael Egorov 在 Aave 上的 7000 萬美元借款頭寸面臨清算風險。鑒於此,Egorov 通過 OTC 出售 CRV,換得資金來還貸款。
自 8 月 1 日開始 OTC 出售以來,截止 8 月 6 日,Egorov 已纍計嚮 30 家投資者/機構出售了 1.4265 億枚 CRV ,換得資金 5706 萬美元。
截至 8 月 6 日,Egorov 在四個平臺上仍抵押 2.698 億枚 CRV(約合 1.66 億美元),債務規模約為 4870 萬美元。
攻擊者歸還資金
7 月 30 日,漏洞利用者 coffeebabe.eth 將 786 枚 ETH(145 萬美元)和 955 枚 smETH(174 萬美元)歸還給 Metronome,將 2879 枚 ETH(536 萬美元)歸還給 Curve Finance;
8 月 3 日,Curve 基金會嚮漏洞利用者發送了鏈上消息,如果攻擊者在 8 月 6 日上午 8 點(UTC)之前歸還剩余的 90% ,將獲得被盜資金的 10% 作為賞金;
8 月 4 日,攻擊者 0x6ec 嚮 JPEG’d 歸還了 5495 枚 WETH ( 1000 萬美元) 併保留了 610 枚 ETH ( 110 萬美元) 作為 10% 賞金;攻擊者 0xdce 嚮 AlchemixFi 返還 2258 枚 ETH ( 415 萬美元) 和 4820 枚 alETH ( 882 萬美元);
8 月 5 日,0xdce 嚮 AlchemixFi 返還 4999 枚 ETH(918 萬美元),已全部返還;
8 月 6 日, 32% 的被盜資產(約 1870 萬美元)尚未歸還:
來自 MetronomeDAO(由 coffeebabe.eth 保管)的 80 枚 ETH(1.47 萬美元) ;
來自 CRV-ETH 池的 7681 枚 ETH(1440 萬美元)和 719 萬枚 CRV(443 萬美元)。
截止發稿,在 Curve Finance Vyper 漏洞利用中被盜的 5950 萬美元中,約 4030 萬美元已經歸還, 56 萬美元作為黑客的賞金,約 1870 萬美元仍未被 CRV/ETH 漏洞利用者歸還(0xb752…b324)。
8 月 7 日,Curve Finance 發推稱,CRV/ETH 漏洞攻擊者自願歸還資金的截止日期已過,將提供賞金對任何提供導致黑客被捕和定罪信息的人的報酬(目前為 185 萬美元)。