编辑“Curve Finance”（章节）

== 相关事件 ==

=== DNS 劫持攻击 ===
2022年8月10日，Curve Finance 突遭 DNS 劫持攻击。攻击发生之后，Curve 发推确认 Curve.fi 域名服务器遭到盗用，警告用户撤销 Curve 上的 0x9eb5f8e83359bb5013f3d8eee60bdce5654e8881 合约，暂时使用 curve.exchange<ref>[https://mp.weixin.qq.com/s?__biz=MzU2NzUxMTM0Nw==&mid=2247499322&idx=1&sn=1e2d61ab1af4f2ddf23cdd571b6fb3a1&chksm=fc9eae66cbe92770c9b63bbd088bc1228f7e9d11f76724a1e67a7896ad057fed1f0b03689c40#rd Curve Finance突遭DNS劫持攻击！]</ref>。

2022年8月10日，币安创始人[[赵长鹏]]就 Curve 被黑客盗窃事件发推特表示：Curve 使用 GoDaddy 作为 DNS 是不安全的，任何 Web3 项目都不应该使用它，因为它非常容易受到社会工程的影响。

本次 Curve Finance 遭遇了 DNS 劫持攻击，是由于域名注册商 iwantmyname.com 的系统遭到破坏，curve 的 name server 被篡改成黑客控制的 dns server，curve.fi 的流量被重定向到黑客的服务器 5.199.174.238 和 87.120.37.46。

同时，攻击者部署的恶意 dns server 就是那两个恶意网页服务器的 ip，大概在那上面同时设有 dns 和网页的服务，因而导致不知情的 curve.fi 用户被黑客控制的 0x9eb5f8e83359bb5013f3d8eee60bdce5654e8881 的恶意合约互动。

链上数据显示，与该漏洞相关的恶意合约似乎已经从八个不同的受害者那里窃取 USDC 和 DAI。这些资金已经转移到攻击者的钱包并换成了 ETH 代币，然后被发送到加密货币交易所 FixedFloat。

Curve 黑客地址 0x50f9202e0f1c1577822BD67193960B213CD2f331 已经通过 Tornado Cash 转移了资金，该混币器平台才受到美国财政部的制裁。本次事件导致的总损失约为 77 万美元，其中包括被 FixedFloat 交易所冻结的 20 万美元。

=== Vyper 漏洞攻击 ===
2023年7月30日，因 Vyper 部分版本（0.2.15、0.2.16 和 0.3.0）存在功能失效的递归锁漏洞，Curve 稳定币池 alETH/msETH/pETH 遭遇攻击。受 Curve 部分稳定币池攻击事件影响，Alchemix、JPEG'd、Metronome、deBridge 和 Ellipsis 累计损失约为 7000 万美元：

Alchemix：7259 枚 ETH 和 4821 枚 alETH（约 2200 万美元）；

JPEG'd：6106 枚 ETH ( 约 1140 万美元）；

Metronome：866.554 枚 ETH ( 约 160 万美元），955 枚 smETH（约 170 万美元）；

CRV-ETH pool： 1.05 万枚 ETH（约 1940 万美元）， 719 万枚 CRV（约 440 万美元）。

7月31日，Curve Finance 总锁仓量（TVL）已由 7 月 30 日的 32.66 亿美元降至 18.69 亿美元，24 小时降幅为 42.78%，CRV 价格 24 小时跌幅为 14.89%。CRV 价格下跌走势迫使 Curve 创始人 Michael Egorov 在 Aave 上的 7000 万美元借款头寸面临清算风险。鉴于此，Egorov 通过 OTC 出售 CRV，换得资金来还贷款。自 8 月 1 日开始 OTC 出售以来，截止 8 月 6 日，Egorov 已累计向 30 家投资者 / 机构出售了 1.4265 亿枚 CRV ，换得资金 5706 万美元。

8月6日，Egorov 在四个平台上仍抵押 2.698 亿枚 CRV（约合 1.66 亿美元），债务规模约为 4870 万美元。

9月27日，据 Lookonchain 监测，Curve 创始人 Michael Egorov 已偿还 Aave 上所有债务<ref name=":0">X 上的 Lookonchain [https://x.com/lookonchain/status/1706846422304534836 Michael Egorov deposited 68M $CRV ($35.5M) to #Silo and borrowed 10.77M $crvUSD in the past 2 days.]</ref>。

11月6日，Curve 发文称，7 月底受到几个 Curve 池黑客攻击影响的用户需检查 GitHub 存储库，查找地址并检查数据是否准确。该存储库记录因 Vyper 攻击而遭受损失的用户地址和损失资金恢复比例，Curve 之后将依赖这些数据进行操作。

=== 攻击者归还资金 ===
7月30日，漏洞利用者 coffeebabe.eth 将 786 枚 ETH（145 万美元）和 955 枚 smETH（174 万美元）归还给 Metronome，将 2879 枚 ETH（536 万美元）归还给 Curve Finance；

8月3日，Curve 基金会向漏洞利用者发送了链上消息，如果攻击者在 8 月 6 日上午 8 点（UTC）之前归还剩余的 90%，将获得被盗资金的 10% 作为赏金；

8月4日，攻击者 0x6ec 向 JPEG'd 归还了 5495 枚 WETH (1000 万美元) 并保留了 610 枚 ETH (110 万美元) 作为 10% 赏金；攻击者 0xdce 向 AlchemixFi 返还 2258 枚 ETH (415 万美元) 和 4820 枚 alETH (882 万美元)；

8月5日，0xdce 向 AlchemixFi 返还 4999 枚 ETH（918 万美元），已全部返还；

8月6日，32% 的被盗资产（约 1870 万美元）尚未归还：

来自 MetronomeDAO（由 coffeebabe.eth 保管）的 80 枚 ETH（1.47 万美元）；

来自 CRV-ETH 池的 7681 枚 ETH（1440 万美元）和 719 万枚 CRV（443 万美元）。

8月7日，Curve Finance 发推称，CRV/ETH 漏洞攻击者自愿归还资金的截止日期已过，将提供赏金对任何提供导致黑客被捕和定罪信息的人的报酬（目前为 185 万美元）<ref>[https://www.panewslab.com/zh/articledetails/1s81wb3u.html Curve风波告一段落，扒一扒关键利益团体的资金动向] - PANews</ref>。