7 月30 日,因Vyper 部分版本(0.2.15、 0.2.16 和0.3.0)存在功能失效的遞歸鎖漏洞,Curve 穩定幣池alETH/msETH/pETH 遭遇攻擊。受Curve 部分穩定幣池攻擊事件影響,Alchemix、JPEGd、Metronome、deBridge 和Ellipsis 目前累計損失約為7000 萬美元:
Alchemix: 7259 枚ETH 和4821 枚alETH(約2200 萬美元);
JPEGd: 6106 枚ETH (約1140 萬美元);
二級標題
二級標題
受攻擊影響,CRV 價格下跌,創始人借款面臨清算風險
受攻擊影響,在7 月31 日,Curve Finance 總鎖倉量(TVL)已由7 月30 日的32.66 億美元降至18.69 億美元, 24 小時降幅為42.78% ,CRV 價格24 小時跌幅為14.89% 。
而CRV 價格下跌走勢迫使Curve 創始人Michael Egorov 在Aave 上的7000 萬美元借款頭寸面臨清算風險。鑑於此,Egorov 通過OTC 出售CRV,換得資金來還貸款。
二級標題
二級標題
攻擊者歸還資金
7 月30 日,漏洞利用者coffeebabe.eth 將786 枚ETH(145 萬美元)和955 枚smETH(174 萬美元)歸還給Metronome,將2879 枚ETH(536 萬美元)歸還給Curve Finance;
8 月3 日,Curve 基金會向漏洞利用者發送了鏈上消息,如果攻擊者在8 月6 日上午8 點(UTC)之前歸還剩餘的90% ,將獲得被盜資金的10% 作為賞金;
8 月4 日,攻擊者0x6ec 向JPEGd 歸還了5495 枚WETH ( 1000 萬美元) 並保留了610 枚ETH ( 110 萬美元) 作為10% 賞金;攻擊者0xdce 向AlchemixFi 返還2258 枚ETH ( 415萬美元) 和4820 枚alETH ( 882 萬美元);
8 月5 日,0xdce 向AlchemixFi 返還4999 枚ETH(918 萬美元),已全部返還;
8 月6 日, 32% 的被盜資產(約1870 萬美元)尚未歸還:
來自MetronomeDAO(由coffeebabe.eth 保管)的80 枚ETH(1.47 萬美元) ;
來自CRV-ETH 池的7681 枚ETH(1440 萬美元)和719 萬枚CRV(443 萬美元)。
截止發稿,在Curve Finance Vyper 漏洞利用中被盜的5950 萬美元中,約4030 萬美元已經歸還, 56 萬美元作為黑客的賞金,約1870 萬美元仍未被CRV/ETH 漏洞利用者歸還(0xb752 . ..b324)。
8 月7 日,Curve Finance 發推稱,CRV/ETH 漏洞攻擊者自願歸還資金的截止日期已過,將提供賞金對任何提供導致黑客被捕和定罪信息的人的報酬(目前為185 萬美元) 。
此外,Odaily特別提示,近日X(即Twitter)上出現一些賬戶冒充Curve 官方,詐騙賬戶往往標有藍色或黃色標記,需注意防範。
