7 月 30 日,因 Vyper 部分版本(0.2.15、 0.2.16 和 0.3.0)存在功能失效的递归锁漏洞,Curve 稳定币池 alETH/msETH/pETH 遭遇攻击。受 Curve 部分稳定币池攻击事件影响,Alchemix、JPEG'd、Metronome、deBridge 和 Ellipsis 目前累计损失约为 7000 万美元:

  • Alchemix: 7259 枚 ETH 和 4821 枚 alETH(约 2200 万美元);

  • JPEG'd: 6106 枚 ETH (约 1140 万美元);

  • Metronome: 866.554 枚 ETH (约 160 万美元), 955 枚 smETH(约 170 万美元);

  • CRV-ETH pool: 1.05 万枚 ETH(约 1940 万美元), 719 万枚 CRV(约 440 万美元)。

受攻击影响,CRV 价格下跌,创始人借款面临清算风险

受攻击影响,在 7 月 31 日,Curve Finance 总锁仓量(TVL)已由 7 月 30 日的 32.66 亿美元降至 18.69 亿美元, 24 小时降幅为 42.78% ,CRV 价格 24 小时跌幅为 14.89% 。

而 CRV 价格下跌走势迫使 Curve 创始人 Michael Egorov 在 Aave 上的 7000 万美元借款头寸面临清算风险。鉴于此,Egorov 通过 OTC 出售 CRV,换得资金来还贷款。

自 8 月 1 日开始 OTC 出售以来,截止 8 月 6 日,Egorov 已累计向 30 家投资者/机构出售了 1.4265 亿枚 CRV ,换得资金 5706 万美元。

截至 8 月 6 日,Egorov 在四个平台上仍抵押 2.698 亿枚 CRV(约合 1.66 亿美元),债务规模约为 4870 万美元。

攻击者归还资金

7 月 30 日,漏洞利用者 coffeebabe.eth 将 786 枚 ETH(145 万美元)和 955 枚 smETH(174 万美元)归还给 Metronome,将 2879 枚 ETH(536 万美元)归还给 Curve Finance;

8 月 3 日,Curve 基金会向漏洞利用者发送了链上消息,如果攻击者在 8 月 6 日上午 8 点(UTC)之前归还剩余的 90% ,将获得被盗资金的 10% 作为赏金;

8 月 4 日,攻击者 0x6ec 向 JPEG'd 归还了 5495 枚 WETH ( 1000 万美元) 并保留了 610 枚 ETH ( 110 万美元) 作为 10% 赏金;攻击者 0xdce 向 AlchemixFi 返还 2258 枚 ETH ( 415 万美元) 和 4820 枚 alETH ( 882 万美元);

8 月 5 日,0xdce 向 AlchemixFi 返还 4999 枚 ETH(918 万美元),已全部返还;

8 月 6 日, 32% 的被盗资产(约 1870 万美元)尚未归还: 

  • 来自 MetronomeDAO(由 coffeebabe.eth 保管)的 80 枚 ETH(1.47 万美元) ;

  • 来自 CRV-ETH 池的 7681 枚 ETH(1440 万美元)和 719 万枚 CRV(443 万美元)。

截止发稿,在 Curve Finance Vyper 漏洞利用中被盗的 5950 万美元中,约 4030 万美元已经归还, 56 万美元作为黑客的赏金,约 1870 万美元仍未被 CRV/ETH 漏洞利用者归还(0xb752...b324)。

8 月 7 日,Curve Finance 发推称,CRV/ETH 漏洞攻击者自愿归还资金的截止日期已过,将提供赏金对任何提供导致黑客被捕和定罪信息的人的报酬(目前为 185 万美元)。