CRV暴跌近20%！Curve穩定幣池遭駭起因、目前影響一次看

以穩定幣交易聞名的去中心化交易平台 Curve Finance ，今日凌晨驚傳遭駭客攻擊穩定幣池。CoinMarketCap 數據顯示，被攻擊的消息一出，Curve 生態代幣 Curve DAO Token（CRV）幣價便由 0.73 美元，下跌到 0.5944 美元，截稿前回升到 0.6239 美元，近 24 小時內下跌 15.37%。

外媒 CoinDesk 警告， 被駭風波及 CRV 的下跌，可能連帶導致市場恐慌及借貸協議的清算風波，使價值超過 1 億美元的加密貨幣面臨風險，並進一步加劇混亂局面。

於 2020 年推出的 Curve Finance，是一家專注於提供高效、低滑點穩定幣兌換服務的去中心化交易所（DEX），擁有多個代幣交易池。

攻擊源頭：「重入鎖」功能故障

根據外媒 Decrypt 援引分散式金融安全公司Decurity的數據觀察，最初被攻擊的項目是 NFT 借貸平台 JPEG’d，約有價值 1100 萬美元的加密貨幣從JPEGd中被盜。不久之後，Alchemix 和 Metronome DAO 也分別被以類似方式，損失了 1,360 萬美元和 160 萬美元。

此後受影響的穩定礦池包含 alETH/ETH、msETH/ETH、pETH/ETH 和 CRV/ETH，多數都使用了一種名為「Vyper」的智慧合約導向 Python 系程式語言。

而 Vyper 本身也在官方推特承認，Vyper 0.2.15、0.2.16 和 0.3.0 版本容易受「重入鎖（Reentrancy locks）」故障的影響，該漏洞使得駭客能反覆從智慧合約中提取資金，Vyper 並呼籲任何使用這些版本的專案立即向其聯絡。

根據區塊鏈安全公司 Ancilia 對受影響合約的分析，共有 136 份合約使用了 Vyper 0.2.15 版本；98 份合約使用了 Vyper 0.2.16，226 份合約使用了Vyper 0.3.0。

受影響的項目有哪些？

縱然 Cureve Finance  團隊在推特強調，除了 alETH/ETH、msETH/ETH、pETH/ETH 和 CRV/ETH，其餘的礦池都是安全且不受影響，該漏洞仍在整個 DeFi 生態系統中引發了恐慌與後續效應，帶動了跨池交易浪潮和自發性的白帽救援行動。

根據鏈上安全機構派盾（PeckShield）統計，包括 Alchemix、JPEGd、MetronomeDAO、deBridge 和 Ellipsis 等，目前損失超過 5200 萬美元，官方現已出面說明攻擊發生原因，並持續評估整體損失中。