Time:2023-09-29 Click:86
智能合约编程语言 Vyper 出现漏洞,随着资金池耗尽和清算威胁迫在眉睫,DeFi 面临蔓延事件的风险。
7 月 31 日凌晨,智能合约编程语言 Vyper 发推表示,Vyper 0.2.15、0.2.16 和 0.3.0 版本的防重入锁失效。恶意行为者利用重入攻击反复重新签署合约,导致未经授权的操作或资金被盗,包括 Curve Finance 在内的一些重要项目因此遭受了攻击,初步估计已被利用的金额高达 7000 万美元。其中一部分资金由白帽黑客和 MEV 机器人保管,可能会被追回。
Curve 生态中的 4 个资金池 CRV/ETH、alETH/ETH、msETH/ETH、pETH/ETH 被攻击,超过 4500 万美元的流动性已从借贷协议 Alchemix、合成资产 Metronome 、NFT 借贷平台 JPEG'd 的池中中流失,近 2500 万美元从 CRV/ETH 池中流出。另一个可能受影响的池是 Arbitrum Tricrypto 池,但审计人员和 Vyper 开发人员暂未找到可攻击漏洞。
此外,DefiLlama 数据显示, Curve Finance 总锁仓量(TVL)已由 7 月 30 日的 32.66 亿美元降至 18.69 亿美元,24 小时降幅为 42.78%。
中心化交易所显示 CRV 价格触底至 0.583 美元,但该代币在链上触及 0.109 美元的低点。CRV/ETH 池被黑后,链上 CRV 流动性变差,导致链上价格波动。
尽管 CRV 遭到残酷抛售,但黑客仍然有收益。恢复失败将导致 CRV 被抛售,这可能对借贷协议产生严重影响。目前该钱包仍持有 700 万枚 CRV(约 450 万美元)。
Curve 创始人 Michael Egorov 在众多借贷协议上以他的 CRV 为抵押获得了大量贷款,其中最大一笔贷款是在 Aave 上。如果 CRV 价格达到清算阈值,协议将被迫清算 CRV 头寸。根据加密研究员 0xLoki 统计, Michael Egorov 目前抵押 2.92 亿 CRV(1.81 亿美元),借出 1.1 亿美元,主要分布于:
1.AAVE 上抵押了 1.9 亿 CRV,借了 6500 万美元,清算价 0.37 美元;
2.FRAXlend 上抵押 4600 万 CRV,借了 2100 万 FRAX,清算价 0.4 美元;
3.Abracadabr 存入 4000 万 CRV,借出 1800 万美元,清算价 0.39 美元;
4.Inverse 上存入 1600 万 CRV,借出 700 万美元,清算价 0.4 美元。
过去 6 小时,Egorov 在 AAVE 和 Abracadabra 各补了 1000 万左右 CRV 的保证金。
为了避免在出售时被清算,Michael Egorov 一直在偿还贷款债务。鉴于还款努力,Michael Egorov 在 Aave 贷款的新清算门槛已降低为 0.37 美元。
已知链上流动性不足以清算 Michael Egorov 的头寸。上个月,DeFi 风险管理公司 Gauntlet 试图冻结 Aave 的 CRV 市场,但他们的提议被一致拒绝。
Curve 的 CRV/ETH 池中的流动性已经消失。CRV 流动性下降得比 Gauntlet 提出建议时还要低,如果头寸被清算,坏账似乎不可避免。
一旦产生坏账,借贷协议必须动用保险资金。例如,Aave 会从其安全模块出售 AAVE 代币以弥补任何短缺,但出售将减少剩余抵押品的价值。
广泛的波动性和剩余的未知因素将导致许多人从 Curve 中移除流动性。随着 Curve 和其他链上 DEX 的流动性持续减少,价格将变得越来越不稳定。
贷款机构正竞相从货币市场协议中提取资金。Aave 的 USDT 池利用率超过 50%,借款利率飙升至 91%,给 Michael Egorov 的头寸带来巨大压力:如果利率不下降,几天之内就会被清算。
虽然 Curve 池的损害可能已经造成,但这种利用对 DeFi 的潜在影响可能才刚刚开始。与 CRV 市场的贷款协议即使不是破产,也可能面临一些严重坏账的风险