作者:Bankless
編譯:Felix, PANews
智能合約編程語言Vyper 出現漏洞,隨著資金池耗盡和清算威脅迫在眉睫,DeFi 面臨蔓延事件的風險。
攻擊媒介
7 月31 日凌晨,智能合約編程語言Vyper 發推表示,Vyper 0.2.15、0.2.16 和0.3.0版本的防重入鎖失效。惡意行為者利用重入攻擊反復重新簽署合約,導致未經授權的操作或資金被盜,包括Curve Finance 在內的一些重要項目因此遭受了攻擊,初步估計已被利用的金額高達7000 萬美元。其中一部分資金由白帽黑客和MEV 機器人保管,可能會被追回。
Curve 炸彈
Curve 生態中的4 個資金池CRV/ETH、alETH/ETH、msETH/ETH、pETH/ETH被攻擊,超過4500 萬美元的流動性已從借貸協議Alchemix、合成資產Metronome 、NFT 借貸平台JPEG’d 的池中中流失,近2500 萬美元從CRV/ETH 池中流出。另一個可能受影響的池是Arbitrum Tricrypto池,但審計人員和Vyper開發人員暫未找到可攻擊漏洞。
此外,DefiLlama數據顯示, Curve Finance總鎖倉量(TVL)已由7月30日的32.66億美元降至18.69億美元,24小時降幅為42.78%。
CRV價格波動
中心化交易所顯示CRV 價格觸底至0.583 美元,但該代幣在鏈上觸及0.109 美元的低點。 CRV/ETH池被黑後,鏈上CRV 流動性變差,導致鏈上價格波動。
儘管CRV 遭到殘酷拋售,但黑客仍然有收益。恢復失敗將導致CRV 被拋售,這可能對借貸協議產生嚴重影響。目前該錢包仍持有700 萬枚CRV(約450 萬美元)。
借貸警告
Curve 創始人Michael Egorov 在眾多藉貸協議上以他的CRV 為抵押獲得了大量貸款,其中最大一筆貸款是在Aave 上。如果CRV 價格達到清算閾值,協議將被迫清算CRV 頭寸。根據加密研究員0xLoki統計, Michael Egorov目前抵押2.92億CRV(1.81億美元),借出1.1億美元,主要分佈於:
1.AAVE上抵押了1.9億CRV,借了6500萬美元,清算價0.37美元;
2.FRAXlend上抵押4600萬CRV,借了2100萬FRAX,清算價0.4美元;
3.Abracadabr存入4000萬CRV,借出1800萬美元,清算價0.39美元;
4.Inverse上存入1600萬CRV,借出700萬美元,清算價0.4美元。
過去6小時,Egorov在AAVE和Abracadabra各補了1000萬左右CRV的保證金。
還款狂熱
為了避免在出售時被清算,Michael Egorov 一直在償還貸款債務。鑑於還款努力,Michael Egorov 在Aave 貸款的新清算門檻已降低為0.37 美元。
預警
已知鏈上流動性不足以清算Michael Egorov 的頭寸。上個月,DeFi 風險管理公司Gauntlet 試圖凍結Aave 的CRV 市場,但他們的提議被一致拒絕。
Curve 的CRV/ETH 池中的流動性已經消失。 CRV 流動性下降得比Gauntlet 提出建議時還要低,如果頭寸被清算,壞賬似乎不可避免。
DeFi溢出
一旦產生壞賬,借貸協議必須動用保險資金。例如,Aave 會從其安全模塊出售AAVE 代幣以彌補任何短缺,但出售將減少剩餘抵押品的價值。
流動性影響
廣泛的波動性和剩餘的未知因素將導致許多人從Curve 中移除流動性。隨著Curve 和其他鏈上DEX 的流動性持續減少,價格將變得越來越不穩定。
貸款人撤退
貸款機構正競相從貨幣市場協議中提取資金。 Aave 的USDT 池利用率超過50%,借款利率飆升至91%,給Michael Egorov 的頭寸帶來巨大壓力:如果利率不下降,幾天之內就會被清算。
雖然Curve 池的損害可能已經造成,但這種利用對DeFi 的潛在影響可能才剛剛開始。與CRV 市場的貸款協議即使不是破產,也可能面臨一些嚴重壞賬的風險。
相關閱讀:損失超5000萬美元,一文梳理編程語言Vyper故障引發的連環攻擊事件
