原文作者： flumen

昨天吸引行业人士关注的事件是Curve被攻击一事。事件起源于以太坊智能合约编程语言Vyper被攻击，在7月31日凌晨Vyper 0.2.15、0.2.16 和0.3.0版本的防重入锁失效。恶意行为者利用重入攻击反复重新签署合约，导致未经授权的操作或资金被盗。

而Curve项目是由Vyper的几个特定版本开发（Uniswap用Solidity开发），其Curve Finance 在内的一些重要项目遭受了攻击。下面是Curve遭受攻击的前后12小时过程：

据悉，Curve 生态中的 4 个资金池CRV/ETH、alETH/ETH、msETH/ETH、pETH/ETH被攻击，超过 4500 万美元的流动性已从借贷协议 Alchemix、合成资产 Metronome 、NFT 借贷平台 JPEG'd 的池中中流失，近 2500 万美元从 CRV/ETH 池中流出。另一个可能受影响的池是Arbitrum Tricrypto池，但审计人员和Vyper开发人员暂未找到可攻击漏洞。初步估计Curve被利用的金额高达 7000 万美元。其中一部分资金由白帽黑客和 MEV 机器人保管，可能会被追回。

Curve是以太坊上的去中心化流动池交易所，从事稳定币与挂钩资产的互换和交易。无许可性、低门槛、可组合、流动性的低成本和管理方案的灵活性被看作是Curve的核心价值。被攻击后的CRV 价格触底至 0.583 美元，但Curve仍持有 700 万枚 CRV（约 450 万美元）

Curve被攻击后带来的反应

Curve被攻击后，创始人 Michael Egorov 开始了链上抵押贷款以补全损失金额。Michael在众多借贷协议上抵押自己的 CRV 获得了大量贷款，其中最大一笔贷款来自 Aave 。根据加密研究员0xLoki统计， Michael Egorov目前抵押2.92亿CRV（1.81亿美元），借出1.1亿美元，主要分布于：1.AAVE上抵押了1.9亿CRV，借了6500万美元，清算价0.37美元；2.FRAXlend上抵押4600万CRV，借了2100万FRAX，清算价0.4美元；3.Abracadabr存入4000万CRV，借出1800万美元，清算价0.39美元；4.Inverse上存入1600万CRV，借出700万美元，清算价0.4美元。截止发稿时，dollar.eth 监测显示，Curve 创始人 Michael Egorov 到目前为止已从 Fraxlend 还款并取回了 750 万枚 CRV，并将其发送到一个新的 EOA 地址，然后从未知地址中接收 USDT，因此可能是一笔场外交易，「按照 250 万枚 CRV/100 万 USDT 计算，场外价格应该是 0.4 美元」。创始人 Michael Egorov 还在今天部署了一个由 crvUSD 和 Fraxlend 的 CRV/FRAX LP 代币组成的Curve 2池并向其中注入了 10 万美元的 CRV 激励。该措施被看作是一种试图激励流动性进入借贷市场以降低利用率并减少债务失控风险的尝试。在推出后的 4 小时内，该池已吸引了 200 万美元的流动性，并将利用率降低至 89%。

据Bankless表示Curve 的 CRV/ETH 池中的流动性已经消失。一旦产生坏账，借贷协议必须动用保险资金。例如，Aave 会从其安全模块出售 AAVE 代币以弥补任何短缺，但出售将减少剩余抵押品的价值。

另外，若 Curve 和其他链上 DEX 的流动性持续减少，价格将变得越来越不稳定。

市场如何观望？

一方面贷款机构正竞相从货币市场协议中提取资金。Aave 的 USDT 池利用率超过 50%，借款利率飙升至 91%，给 Michael Egorov 的头寸带来巨大压力：如果利率不下降，几天之内就会被清算。Curve被攻击带来的负面反应可能会让DeFi面临风险蔓延危机。另一方面，行业内人士也有乐观的消息。据行业内从业人士的消息来源，“Michael已经搞定了5500万美金，足够清掉大部分临近清算的债务，风险基本解除，可以放心睡觉了”。该从业者表示5500万美金是一个凝聚了多方利益共同体的力量，后面Curve会公布。另据Twitter@区块先生表示：各大項目都需要 veCRV，其中就包括 Binance 的 $BETH 和 $stUSDT/ $USDD 。还有 $stETH ， $STBT 和 $FRAX。

DeFi走向？

谈DeFi走向未免过于宏观。虽然此次针对智能合约语言层的攻击在DeFi领域很少见，但以往的DeFi世界中，像FTX的崩溃、加密友好银行的关门、Luna事件等也都在DeFi领域发生过。因此，这次事件从被攻击的编程语言角度来看，那就是区块链的安全程度还是太低了。

Vyper作为第二受欢迎的智能合约编程语言，和 Solidity 一样都是一种面向智能合约的编程语言，可编译为以太坊虚拟机（EVM）的字节代码运行在 EVM 上。

无论它是基于Python 开发的特性、将局部变量存储在内存中而不是堆栈上，还是提供更多内置函数，对Curve而言，它都应当对基础的编程语言进行风险考核（Curve 合约较为复杂，Vyper 使得这些复杂性变得更易于管理，并进一步节省 Gas）。作为知名的DeFi项目，项目方应预判到攻击事件带来的后果。

结语

Curve被攻击事件带来的后续反应还在进行中，其后续的进展可保持关注以了解DeFi这个全新领域。