W odpowiedzi na wykorzystanie luki w języku programowania Vyper, cena akcji CRV spadła o ponad 30%. Wielu posiadaczy CRV zdecydowało się przenieść swój kapitał, powodując znaczny wzrost aktywności w łańcuchu i duże depozyty na giełdach.
Cena CRV spada, gdy 4 pule płynności wykorzystują
Zdecentralizowany protokół finansowy Curve Finance (DeFi) został zaatakowany 30 lipca z powodu luki w języku programowania Vyper używanym przez niektóre z jego pul płynności. W odpowiedzi cena akcji CRV spadła z 0,72 USD do mniej niż 0,5 USD, co oznacza spadek o ponad 30%.
Figure 1: Daily CRV price
Exploit spowodował dziesiątki milionów dolarów strat dla kilku pul płynności: CRV-ETH, pETH-ETH, msETH/ETH i alETH/ETH.
Wykorzystana luka to atak typu re-entrant, który pozwala atakującemu na kilkukrotne użycie funkcji inteligentnego kontraktu, nawet jeśli ma on zostać użyty tylko raz.
W tym przypadku atakujący był w stanie wywołać funkcję w puli Curve, która pozwoliła mu wypłacić więcej tokenów niż powinien. Curve Finance przyznało się do problemu i pracuje nad jego rozwiązaniem oraz poinformowaniem swojej społeczności.
Reakcja posiadaczy CRV
W odpowiedzi na wielokrotne ataki na pule Curve, dezinformację i panikę, wielu posiadaczy CRV zdecydowało się przenieść swój kapitał, wycofując swoje CRV z inteligentnych kontraktów lub sprzedając je.
Po ogłoszeniu luki w zabezpieczeniach Vyper i pierwszych doniesieniach o exploitach, odnotowano znaczny wzrost aktywności adresów Curve.
Rysunek 2: Aktywne adresy CRV
Z 604 aktywnych adresów w dniu 29 lipca do prawie 5000 aktywnych adresów dwa dni później, wskaźnik aktywności tokenów CRV wzrósł 7-krotnie. Ten wzrost aktywności, odzwierciedlający pilność i panikę niektórych, jest również mierzalny poprzez liczbę transakcji na Uniswap V3, który zarządza znaczną większością transakcji w sektorze DeFi.
Podczas gdy średnia aktywność wynosiła blisko 40 transakcji dziennie przed 30 lipca, to po ogłoszeniu ataków przekroczyła 2600 transakcji dziennie, co stanowi 70-krotny wzrost.
Figure 3: Number of transactions on UniswapV3
Wskazuje to, że wielu posiadaczy CRV próbowało wymienić swoje tokeny na ETH lub jakikolwiek inny token uważany za bezpieczniejszy niż CRV w tamtym czasie. Wreszcie, całkowity wolumen transferu wzrósł 57-krotnie, osiągając prawie 680 milionów CRV transferowanych dziennie 30 lipca, w porównaniu z zaledwie 12 milionami poprzedniego dnia.
Figure 4: Total Transfer Volume
Chociaż CRV przeniesione przez atakującego są również liczone tutaj, wyraźnie wskazuje to, że wiadomość o szkodliwej podatności Curve wywołała falę nieufności na skalę niespotykaną od upadku FTX.
Duże depozyty CRV na giełdach
Ponadto, duże ilości zgłoszeń zostały dokonane na wielu scentralizowanych giełdach (CEX) bardzo szybko po opublikowaniu informacji o luce w kompilatorze Vyper.
W ciągu niecałych trzech dni na różnych giełdach zdeponowano prawie 30 milionów CRV, wzrastając z łącznej liczby 94 milionów do ponad 125 milionów CRV.
Figure 5: Net flow of CRVs to Exchanges
Ten napływ płynności odzwierciedla pragnienie niektórych ostrożnych posiadaczy, aby pozbyć się swojego tokena, decyzja, która została katalizowana przez spadek ceny CRV, przyspieszając cykl paniki.
Po bliższym przyjrzeniu się okazuje się, że większość tokenów CRV przeniesionych na giełdy znalazła schronienie na Binance i Bitfinex, które odpowiadały za ponad 60% całkowitych wpływów w ciągu ostatnich trzech dni.
Rysunek 6: Rezerwy CRV na giełdach
Należy również wspomnieć, że niektóre giełdy odnotowały znaczne wycofanie CRV, szczególnie w Stanach Zjednoczonych. Rezerwy Coinbase spadły o ponad 1,7 miliona CRV od czasu ataku, przy czym obecnie nie ma jasnego wyjaśnienia.
