由于智能合約編程語言Vyper的部分版本存在嚴(yán)重漏洞，以穩(wěn)定幣交易聞名的的去中心化交易所Curve Finance昨日清晨遭黑，累積損失金額預(yù)估高達7000萬美元，不少DeFi協(xié)議遭遇重創(chuàng)。

據(jù)悉，本次漏洞源于Vyper語言版本0.2.15至0.3.0之間的重入鎖機制失效。對于區(qū)塊鏈項目來說，重入鎖功能失效問題可能會導(dǎo)致合約的執(zhí)行流程被打斷或者產(chǎn)生不可預(yù)期的結(jié)果，從而影響整個系統(tǒng)的穩(wěn)定性。

Curve運營著232個不同的池，其團隊成員mimaklas在Discord上宣布，只有使用Vyper0.2.15、0.2.16和0.3.0版本的池存在風(fēng)險，其他池子是安全的。mimaklas表示，“所有受影響的池已經(jīng)被抽空或白帽黑客攻擊，團隊正在與受影響的團隊評估情況。”

據(jù)區(qū)塊鏈技術(shù)安全公司派盾（Peck Shield）統(tǒng)計，此次重入攻擊事件已造成約5200萬美元的損失。其中，Curve的CRV/ETH池被盜走了價值約2500萬美元的資金，Alchemix（alETH發(fā)行方）、JPEG'd（pETH發(fā)行方）、Metronome（msETH發(fā)行方）等其他使用Curve池機制的DeFi項目也遭到了類似的攻擊，損失了價值約2700萬美元。

需要強調(diào)的是，并非所有攻擊者都是惡意的，部分白帽黑客和MEVBot（最大可提取價值機器人）將盜取的資金返還給了受影響的項目，以減輕他們的損失。例如，CRV/ETH池被攻擊后，一個MEV機器人部署者向Curve部署者返還了價值約539萬美元的2879.54ETH。

由于此次事件，Curve原生CRV代幣在各交易所遭受閃崩，價格暴跌86%，從4.5美元跌至0.6美元。然而鏈上數(shù)據(jù)顯示，攻擊者還沒有開始出售他們盜取的價值約450萬美元的CRV，因此價格可能還會進一步下跌。

為應(yīng)對危機，Curve創(chuàng)始人邁克爾·埃戈羅夫（Michael Egorov）在Aave、Fraxlend、Abracadabra和Inverse Finance等頂級借貸協(xié)議上，使用了價值超過1億美元的CRV代幣作為抵押物，借入了大量的穩(wěn)定幣。

然而，一旦CRV的價格跌破清算線，不僅會使Curve創(chuàng)始人的借款頭寸被清算，Aave和其他借貸協(xié)議也將面臨巨大的壞賬損失，從而進一步加劇混亂局面。目前，為了防止CRV的價格波動導(dǎo)致的連鎖清算，Aave和其他協(xié)議已經(jīng)暫停了CRV的借款功能，并提高了借貸費用。

一位名為Ignas的DeFi研究員表示，Curve Finance漏洞“動搖了人們對DeFi的信心”，如果一個運行了三年沒有問題的協(xié)議被利用，這會讓人們質(zhì)疑Aave、Compound甚至Uniswap等其他藍(lán)籌協(xié)議的安全性，加密用戶已經(jīng)擔(dān)心Uniswap v4具有單一的智能合約設(shè)計，如果遭到黑客攻擊，風(fēng)險會更大，因為所有資金都會立即受到攻擊。Ignas表示，黑客利用的是Vyper編譯器，而不是Curve的智能合約本身，這一點令人擔(dān)憂，因為現(xiàn)在用Vyper編譯的任何協(xié)議都可能面臨風(fēng)險。

Lens Protocol創(chuàng)始人Stani創(chuàng)始人就Curve事件發(fā)表的看法非常中肯。他指出，雖然DeFi是面向所有人開放的，但建立具有韌性的DeFi系統(tǒng)確實非常困難且充滿風(fēng)險。在Curve的案例中，他們在協(xié)議層面做得非常出色，但Vyper編譯器出現(xiàn)問題導(dǎo)致整個DeFi生態(tài)系統(tǒng)面臨風(fēng)險，包括底層技術(shù)堆棧和以太坊虛擬機（EVM）等。

他還提到，盡管此次事件造成了一定損失，Curve社區(qū)還是能夠妥善處理，并且一些攻擊者或MEV機器人已經(jīng)將部分被盜資金歸還給Curve。這顯示出DeFi社區(qū)的共識和合作精神。

最后，Stani強調(diào)了一個重要觀點，那就是DeFi賦予了公眾知情權(quán)，但同時也容易受到不正確信息的影響，例如關(guān)于被盜金額和受影響協(xié)議的不準(zhǔn)確信息，這可能導(dǎo)致不必要的恐慌和擔(dān)憂。

總結(jié)

Curve作為DeFi領(lǐng)域最重要的去中心化交易所之一，擁有龐大的流動性和用戶基礎(chǔ)，其重要性和影響力不言而喻。因此，此次攻擊事件除了為智能合約的安全性敲響警鐘，后續(xù)所引發(fā)的價格波動、流動性變差、壞賬出現(xiàn)等連鎖反應(yīng)或?qū)φ麄€DeFi領(lǐng)域產(chǎn)生難以估量的影響，可能進一步加速監(jiān)管機構(gòu)介入DeFi領(lǐng)域的步伐，以保護用戶利益、降低市場風(fēng)險并維護金融穩(wěn)定。