加密货币漏洞、黑客攻击、欺诈--你说得出来--似乎都没有后退一步 让整个加密货币社区得到急需的喘息机会。Conic Finance 最近受到两个漏洞的攻击 一个多星期前保利网络屡遭黑客攻击 ,原子钱包的突袭 等等。这样的例子不胜枚举。
我说这话的时候,嘴里留下了非常不好的味道,但以太坊上的去中心化金融(DeFi)最近发生了一起令人担忧的事件,引起了加密货币社区的关注。Curve 是一家著名的稳定币交易所,是 DeFi 业务的核心,它发现自己受到了一个漏洞的摆布 该项目在一条推特上透露了这一消息。
如果我们考虑到目前有价值超过 1 亿美元的加密货币悬而未决,那么情况的严重性就不言而喻了。这一漏洞源于 Vyper 编程语言中的一个重入(re-entrancy")漏洞,该漏洞赋予了 Curve 系统各方面的功能,黑客利用该漏洞耗尽了平台上的多个稳定币池。这些池发挥着关键作用,是众多 DeFi 服务定价和流动性的基础。
除 Curve 外,该漏洞还可能对使用 Vyper 编程语言的其他项目造成影响。随着事件的发展,Curve 所受的损害程度仍不确定。不过,区块链审计公司 BlockSec 很快就在 Twitter 上分享了一份初步分析报告。根据他们的估算,总损失超过 4200 万美元,令人震惊。
Curve'网站拥有 232 个不同的游戏池。然而,据了解,目前只有这些池中的一个特定子集,即那些在 Vyper 0.2.15、0.2.16 和 0.3.0 版本上运行的池受到了威胁。这一消息来自 Curve 团队成员 mimaklas 的 Discord 公告。
为了澄清影响程度,mimaklas 透露,所有易受攻击的池都已成为漏洞的受害者,或已通过称为 "白色黑客 "的程序得到保护。
最先发现泳池曲线问题的公司之一
去中心化金融安全公司 Decurity 报告了一起令人不安的加密货币盗窃事件,NFT 借贷协议 JPEG'd 遭到了攻击。该平台上价值 1100 万美元的加密货币被盗,这引起了人们对 DeFi 生态系统内安全措施的担忧。
JPEG'd以开创NFT支持贷款而闻名,它很快就发现了其Curve池中的一个问题,而这正是黑客的一个关键切入点。随着用户将其 NFT 作为抵押品存入,该协议锁定的总价值(TVL)达到约 3200 万美元,成为恶意行为者的诱人目标。
幸运的是,JPEG'd 报告称,负责保护 NFT 和国库资金的核心代码未受损伤,在混乱中提供了一些安慰。尽管如此,这一事件还是给平台蒙上了一层阴影,对其治理代币 JPEG 造成了重大影响。不幸的是,JPEG'的价值暴跌了23%,在周日达到了0.000347美元的历史最低点。
无罪者无所遁形,有罪者无所遁形
在加密货币世界中发现关键漏洞可能是一场一波三折的游戏。Curve 最初在一条现已删除的 Tweet 中将该漏洞称为看似普通的 "重入攻击"(re-entrancy")时,就遇到了这样的波折。从本质上讲,当一个智能合约与另一个合约接触时,就会发生重入攻击,而后者在完成执行之前又会返回到原始合约。后果是什么?恶意行为者有机会巧妙地在一个函数中插入多个调用,导致智能合约错误计算余额。
然而,当 Curve 在回应一个 Twitter 账户时承认自己对情况判断失误时,剧情变得更加扑朔迷离。该漏洞显然不仅仅是一次典型的、可避免的攻击。
慢了一步?
在通过推特向整个加密货币社区传播的漏洞报告不断升级的情况下,一次白色救援行动的出现带来了一线希望。Curve Finance 公司及时发布公告,试图向相关社区保证,crvUSD 合约及其相关池未受攻击影响,在混乱中提供了一丝安慰。
DeFi 协议呼吁受影响的各方团结起来,与白帽子的努力保持一致,在打击这一威胁的过程中展示了统一战线。然而,就在白帽子行动努力确保资金安全并挫败进一步攻击时,命运却发生了意想不到的转变。又一次漏洞出现了,这一次的目标是 crv/eth 池,使系统再次面临压力,并引发了有关其脆弱性的重要问题。
CRV 意外跳水
无休止的漏洞攻击无疑对受影响项目的代币造成了明显冲击。尤其是 CRV,其价值急剧下降,跌幅超过 19%,跌至 0.61 美元的四周低点。随着形势的发展,该代币的价值目前徘徊在 0.623324 美元,投资者和市场观察家正在密切关注其波动。
来源:CoinGeckoCoinGecko
区块链安全领域的著名实体 PeckShield 报告了一件令人着迷的事情:Curve 漏洞利用者自愿将 2,879 个 ETH(价值约 540 万美元)返还到协议部署者地址。
在我们等待即将到来的验尸结果时,这个谜团的碎片可能会逐渐归位,从而揭示出这个故事中的动机和动态。