Curve 协议近期由于以太坊编程语言 Vyper 的特定版本存在的 Bug，导致了四个资金池的资金被盗；除此之外，还由于 Curve 创始人将巨量 CRV 作为抵押品在多个借贷平台上进行借款，也使得 CRV 陷入了潜在的清算危机。本文便从 Bug 危机以及 CRV 危机这两个角度出发，帮助读者梳理一下每个危机的现状以及未来潜在的解决方案。

Bug 危机：已解除，部分资金已追回

这次 Curve 的漏洞危机本质是由于以太坊编程语言 Vyper 的几个特定版本（0.2.15、0.2.16 和0.3.0）存在一个 Bug，导致了重入锁保护失效。

对于此次漏洞，受影响的资金池以及对应被盗的金额分别是：

●pETH/ETH|6,106.65WETH(~$11m)

●msETH/ETH| 866.55WETH(~$1.6m)以及959.71msETH(~$1.8m)

●alETH/ETH|7,258.70WETH(~$13.6m)以及4,821.55alETH(~$9m)

●CRV/ETH|7,193,401.77CRV(~$5.1m以被盗时价格计算)，7,680.49WETH(~$14.2m)以及2,879.65ETH(~$5.4m)

●另外，还有 Arbitrum 上的 Tricrypto（USDT+WBTC+ETH）也受影响，不过目前尚不存在能获利的攻击，资金安全不受影响，但官方建议用户也先取出资金。

前四个受影响的资金池目前的存款和质押功能已禁用，同时也已在资金池界面下架，接下来官方将会停止这几个池子的CRV排放，然后为alETH、msETH以及 pETH开设新的资金池，新的资金池将与 WETH 进行配对或者采用其他新的 ETH 池进行实现，而对于 CRV，目前已经通过与 crvUSD+ ETH 进行配对组成新的 Tricrypto 池，不再受重入漏洞影响。

本次攻击受影响的主要是这五个使用了上文提及的特定Vyper 版本并且与原生ETH配对的池子，Curve 上的其他池子本质上是安全不受影响的，所以现在弃用这些受影响的池子并开设新池子后（与 WETH 配对或用安全的 Vyper 版本编译），本次 Curve 漏洞危机便可视为已解除了（假设新的 Vyper 版本没有未知漏洞的话 lol）。

而对于被盗资金，此前 Mev Bot 部署者 c0ffeebabe.eth 已返还了 2,879.54 ETH。对于其他被盗资金，目前链上侦探@zachxbt 似乎也发现了部分潜在嫌疑人，希望后续能够尝试追回部分资金，减轻被盗用户的损失。

CRV 清算危机：大概率解除，OTC 卖币还债

CRV 的清算危机主要是来自 Curve 创始人 Michael Egorov 在 Frax Finance 和 Aave 等借贷平台上的抵押借贷。

虽然漏洞事件后，CRV 链上价格曾瞬间被暴跌至$0.08 附近，不过由于链上预言机的喂价是参考多数据源多维度的加权机制，这种瞬间爆跌插针其实并不会触发这些借贷平台的清算机制。后续尽管市场上对 CRV 的唱空情绪浓烈，但 CRV 价格基本也稳定保持在$0.5 上方，而短期内Michael Egorov 在 Frax Finance 和 Aave 上的仓位清算价格基本在$0.35 附近，似乎依旧有 30%的缓冲空间，危机似乎也不是那么紧迫？