以稳定币交易闻名的去中心化交易平台 Curve Finance ,今日凌晨惊传遭骇客攻击稳定币池。CoinMarketCap 数据显示,被攻击的消息一出,Curve 生态代币 Curve DAO Token(CRV)币价便由 0.73 美元,下跌到 0.5944 美元,截稿前回升到 0.6239 美元,近 24 小时内下跌 15.37%。
外媒 CoinDesk 警告, 被骇风波及 CRV 的下跌,可能连带导致市场恐慌及借贷协议的清算风波,使价值超过 1 亿美元的加密货币面临风险,并进一步加剧混乱局面。
于 2020 年推出的 Curve Finance,是一家专注于提供高效、低滑点稳定币兑换服务的去中心化交易所(DEX),拥有多个代币交易池。
攻击源头:「重入锁」功能故障
根据外媒 Decrypt 援引分散式金融安全公司Decurity的数据观察,最初被攻击的项目是 NFT 借贷平台 JPEG’d,约有价值 1100 万美元的加密货币从JPEGd中被盗。不久之后,Alchemix 和 Metronome DAO 也分别被以类似方式,损失了 1,360 万美元和 160 万美元。
此后受影响的稳定矿池包含 alETH/ETH、msETH/ETH、pETH/ETH 和 CRV/ETH,多数都使用了一种名为「Vyper」的智慧合约导向 Python 系程式语言。
而 Vyper 本身也在官方推特承认,Vyper 0.2.15、0.2.16 和 0.3.0 版本容易受「重入锁(Reentrancy locks)」故障的影响,该漏洞使得骇客能反复从智慧合约中提取资金,Vyper 并呼吁任何使用这些版本的专案立即向其联络。
根据区块链安全公司 Ancilia 对受影响合约的分析,共有 136 份合约使用了 Vyper 0.2.15 版本;98 份合约使用了 Vyper 0.2.16,226 份合约使用了Vyper 0.3.0。
受影响的项目有哪些?
纵然 Cureve Finance 团队在推特强调,除了 alETH/ETH、msETH/ETH、pETH/ETH 和 CRV/ETH,其余的矿池都是安全且不受影响,该漏洞仍在整个 DeFi 生态系统中引发了恐慌与后续效应,带动了跨池交易浪潮和自发性的白帽救援行动。
根据链上安全机构派盾(PeckShield)统计,包括 Alchemix、JPEGd、MetronomeDAO、deBridge 和 Ellipsis 等,目前损失超过 5200 万美元,官方现已出面说明攻击发生原因,并持续评估整体损失中。
本报导由先知资讯提供,其报导内容由业者依法律规定负责,其报导内容不代表「壹苹新闻网」立场,报导内容如有涉及投资事务,请读者自行审慎独立判断。
點擊閱讀下一則新聞
