Vyperプログラミング言語の脆弱性が悪用されたことを受け、CRVの株価は30%以上下落した。多くのCRV保有者が資本を移動することを選択し、オンチェーンでの活動が大幅に急増し、取引所への多額の入金が発生しました。
4つの流動性プールが悪用しCRV価格が急落
カーブファイナンスの分散型金融プロトコル(DeFi)が7月30日、流動性プールの一部で使用されているVyperプログラミング言語の脆弱性により攻撃された。これを受けて、CRVの株価は0.72ドルから0.5ドル未満まで下落し、30%以上下落した
。
図1:CRVの日次価格
この悪用により、CRV-ETH、pETH-ETH、msETH/ETH、alETH/ETHといった複数の流動性プールが数千万ドルの損失を被った。
悪用された脆弱性はリエントラント攻撃で、攻撃者がスマートコントラクトの機能を一度しか使用しないことになっていても、複数回使用することができる。
今回のケースでは、攻撃者はCurveプール内の関数を呼び出すことができ、想定よりも多くのトークンを引き出すことができた。Curve Financeはこの問題を認め、問題の解決とコミュニティへの報告に取り組んでいます。
CRV保有者の反応
カーブプールへの複数の攻撃、誤った情報、パニックに対して、多くのCRV保有者はスマートコントラクトからCRVを引き出すか、売却することで資本を移動することを選択しました。
Vyperの脆弱性の発表とエクスプロイトの最初の報告の後、Curveアドレスのアクティビティが大幅に増加しました。
図2:アクティブなCRVアドレス
7月29日に604件であったCRVトークンのアクティブアドレスは、2日後には約5,000件に達しており、CRVトークンのアクティブ率は7倍に増加している。一部の人々の緊急性とパニックを反映したこのアクティビティの増加は、DeFiセクターの取引の大部分を管理するUniswap V3のトランザクション数によっても測定可能である。
7月30日以前の平均取引件数は1日あたり40件に近かったが、攻撃が発表された後は1日あたり2,600件を超え、70倍に増加した
。
図3:UniswapV3の取引件数
これは、多くのCRV保有者が自分のトークンをETHや、その時点でCRVよりも安全だと思われる他のトークンと交換しようとしたことを示している。最後に、総転送量は57倍に増加し、7月30日には1日あたり約6億8,000万CRVが転送されました。
図4:総転送量
攻撃者が移動させたCRVもここでカウントされていますが、これは明らかに、Curveに有害な脆弱性が見つかったというニュースが、FTXの崩壊以来見られなかった規模の不信の波を引き起こしたことを示しています
。
取引所における大量のCRV預託金
また、Vyperコンパイラの脆弱性に関するニュースが発表された後、瞬く間に多くの中央集権的取引所(CEX)で大量の申告が行われた。
わずか3日足らずの間に、3,000万近いCRVがさまざまなCEXに預託され、合計9,400万CRVから1億2,500万CRV以上に増加した
。
図5:取引所へのCRVのネットフロー
この流動性の流入は、トークンを処分したいという一部の警戒心の強い保有者の願望を反映したもので、CRVの価格下落がこの決断を促し、パニックの連鎖を加速させている。
よく調べてみると、取引所に移されたCRVトークンの大半はBinanceとBitfinexに避難しているようだ。
Figure 6: CRV reserves on exchanges
また、一部の取引所では、特に米国でCRVの大幅な引き出しが発生していることも重要である。Coinbaseの準備金は攻撃以来170万CRV以上急落しており、現在のところ明確な説明は得られていない。
