7 月 31 日凌晨，Curve Finance 官方宣布由于 Vyper 部分版本出现故障，许多使用 Vyper 0.2.15 版本的稳定币池 (alETH/msETH/pETH) 遭到不同程度的攻击。其中 CRV/ETH 池在几分钟内就被盗空了，攻击事件导致 Curve 约损失 4200 万美元。这一攻击事件发生的背后，Vyper 语言是否存在漏洞？攻击事故的发生会否给智能合约审计、DeFi 市场情绪、投资者信心等带来打击与震动？面对这一系列的话题，我们依旧需要探寻链上世界运行安全性与可持续性之间的平衡路径与应对策略，更好地共建 DeFi 生态，第 25 期 TinTinWeekly 活动交出了这些问题的答卷。

8 月 8 日 TinTinWeekly 第 25 期活动由 TinTinLand 社区经理 Tracy 主持，活动邀请到了 SharkTeam 联合创始人 Adam、InsurAce 亚太负责人 Steven、THUBA 研究与孵化主管 Gus、DODO 战略研究员 Bruce、Odaily 研究员 Loopy、Hyper Oracle 联合创始人 Kartin 、CertiK 解决方案架构负责人 Connie Lam 与关注本次 Curve Finance 稳定币池安全事件的 Web3 爱好者们相聚直播间，一同探索链上安全性与可持续性之间的平衡问题，对 DeFi 生态的未来发展作出全新展望。本次线上活动共吸引了 300+ 位观众的参与，不少观众还在直播间与嘉宾们近距离交流互动。

https://twitter.com/i/spaces/1yNGaNZBYZdJj

精彩观点

• Vyper 存在技术漏洞——0day 漏洞，引爆 Curve 稳定币池攻击事件
• Curve 稳定币池遭攻击，或带来用户流失、投资积极性下降等影响
• DeFi 项目设计初期应将安全性作为首要考虑因素，提高应对风险能力

• 提升团队业务能力，更好地推动 DeFi 生态繁荣发展

多重因素造成 Curve 

稳定币池遭受攻击

自 Curve 稳定币池遭到攻击后，各路专业人士开始对本次事件进行事故原因的分析，综合直播间嘉宾老师们的看法，不外乎从技术、业务、市场等几个方面进行的探索和思考。当我们面临此类事故时，只有寻其根本才能找到对症下药的良方。

重入锁失效成技术层面主要原因

Curve 攻击事件涉及的范围之广，究其根本是智能合约基础设施 Vyper 的 0.2.15、0.2.16、0.3.0 版本存在重入锁设计的不合理。Adam 老师犀利地指出，“Vyper 三个版本里重入锁失效的技术漏洞引起了本场事故。漏洞显现后，很多白帽子、灰帽子纷纷加入测试，造成多个项目受到类似攻击。” 而 Vyper 存在的技术漏洞其实是很典型的 0day 漏洞（指未被公开的安全漏洞，发现这种漏洞的行为被称为漏洞挖掘），这种漏洞可能是由黑客团体挖漏洞发起攻击造成事故，也可能是线技术人员遇到漏洞却没有及时察觉。当前，许多开发团队在进行 Vyper 语言的开发中，产出了类似 Vyper 的智能合约，碰巧测试功能用例时与重入锁的逻辑重合（存在漏洞的板块），发现了 0day 漏洞后作出了攻击性行为。

Curve 自身机制助推攻击事故发生

除了技术层面的硬性影响因素以外，Curve 自身的机制特点也为本次事故推波助澜。“Curve 自身的不可升级性导致其流动性池的迁移成本非常高昂、程序也异常繁琐，面对风险并没有及时可供应对的紧急策略机制，这可能直接导致了本次攻击事件的爆发”，Bruce 老师认为 Curve 作为相对成熟的项目却没有应对风险的紧急策略机制，这对任何事故的防御来说都是非常不利的。

动摇 DeFi 生态，

更应看到积极信号

毋庸置疑的是，Curve 稳定币池遭攻击这一事件的发生，必然会对整个 DeFi 生态带来不小的冲击，尤其对用户、投资者、开发人士等投入 DeFi 生态的信心与热情带来消极影响。然而事有两面，面对 DeFi 生态可能产生的动荡，我们或许更应该看到从中释放的积极信号。

用户重创效应明显，市场投资热情下降

“事实上，Curve 稳定币池遭攻击这一事件的发生，是我们非常不愿意看到的”，Bruce 老师在面对 Curve 遭受攻击事件时表现得有些沮丧。在他看来，Curve 吸纳了一个很大的 TVL 在里面（即 Curve 的流动性极强），能提供比较稳定的收益来源，一旦出现系统性崩溃，就有可能对链上资金的安全性带来冲击，用户很难在短时间内找到一个与 Curve 量级媲美的协议去存放自己的资金，如此对 DeFi 生态的运作带来非常重大的影响。如果这个收益来源在一段时间内都无法修复，那么就会带来用户流失，他们可能会去转投 CeFi（中心化金融项目），毕竟相较之下 CeFi 不太会有那么严重的安全问题。

对于市场情绪层面来说，用户、社区开发者等都会将 Curve 事件的崩溃与创始人清算问题联系起来。大家非常担心市场流动性不足，导致 Curve 创始清算 CRV 价格的飞速下跌。资金效益的流失最能触动市场情绪，也是 Curve 遭攻击事件带来的直接影响。对此，Loopy 老师也表示认同，并补充道，“在 DeFi 生态里有这样的一种逻辑：一个平台运行地越久，它的 TVL 值就越高，我们更可能认为其是一个更加安全的平台，以此提升了平台的知名度和影响力。而像 Curve 就是 DeFi 生态里处于第一梯队的安全平台，所以客户经历了攻击事件后，Curve 的 TVL 值直接腰斩，这对 DeFi 用户的信任度和信心值都是一种‘致命打击’ ”。这种影响或许会直接导致 DeFi 在吸引资金方面落后于整个市场，对投资者来说也需要很长一段时间才能重新建立起对 DeFi 的热情和积极性。

注重技术解决方案，寻找重振行业方向

Curve 稳定币池遭攻击事件已然发生，与其一昧苛责种种因素与主体，不如寻找新的启示与改进方向。在 Steven 老师看来，本次事件对用户和开发者的信心产生不小影响，后续可能仍然需要全新的行业叙事和创新才能挽救 DeFi 生态，重塑 Curve 的影响力。具体到实际方案中来说，开发者团队可以更加注重修补技术漏洞细节、完善底层基础设施、加强去中心化监管……这都是可以重振开发者、投资者信心的现实举措。

提高 DeFi 安全性：

Vyper 重入锁失效的启示

Vyper 编程语言递归锁失效（重入锁失效）导致本次技术漏洞，必然引起了开发者和项目方的重视。事实上，重入锁漏洞很常见且不断在发生，而常见问题的不断发生也反映了开发者和项目方对智能合约本身的安全性重视度不够，忽视了安全风险问题。当前，区块链金融安全问题频现，也从侧面展现了大众对链上资产安全方面的技术素养和知识积累比较匮乏。

平衡 DeFi 效率与准确性：

坚持三重路径

完善技术安全性是重新挽回 DeFi 生态口碑的第一步，那么更好平衡 DeFi 效率与准确性则是发挥 DeFi 生态影响力的第二步。面对类似的攻击事件，DeFi 项目需要在智能合约代码审计方面继续提高效率和准确性。Adam 老师从自动化引擎、漏洞披露机制、团队水平提升三个方面给出如下建议：

• 第一，引入动态扫描机制工具。自动化引擎的加入能够提升防御攻击的能力，还能够提高扫描的准确性，并实现不断升级和再造。

• 第二，搭建漏洞的发现和披露机制。Curve 事件提示项目团队需要提高漏洞挖掘能力，包括在生态里提出一些赏金机制，让 0day 漏洞的发掘和利用更多地集中于想要做好事的安全研究员身上。

• 第三，提升团队业务能力和水平。DeFi 项目的风险虽有技术层面的原因，但更多来自于业务层面。所以代码审计这一块需要审计工程师、审计专家提高业务水平和技能素养，发现更多不确定性的风险。

Curve 稳定币池遭攻击事件本身或许不能够完全颠覆 DeFi 生态的运作节奏，但也足以成为 DeFi 赛道的开发者、用户、投资者进行深入学习和思考的范本。未来我们依旧需要寻找提升 DeFi 生态安全性与持续性发展的技术工具和运作方式，推动 DeFi 生态繁荣成长。

活动预告：

首期 TinTin AMA 亮相，

畅谈多模态 AI

伴随我们走过半年之久的 TinTinWeekly 活动，通过 20+ 场嘉宾与观众朋友们的直播互动，传递了 Web3 行业的最新热点和资讯，也以犀利独到的观点分享让大家更好地认识 Web3、加入 Web3。作为专注于 Web3 开发者的社区平台，TinTinLand 不仅致力于带领大家更好地洞悉 Web3 行业，更着力于引领大家迈向 Web3 世界，共同成为 Web3 的建设者。

因此，我们重磅推出「TinTin AMA」活动！作为 TinTinLand 推出的全新线上品牌活动，这次我们将目光聚焦 Web3 初创项目的嘉宾们！活动直播间将通过问答互动的形式，让社区开发者和 Web3 爱好者深入了解这些令人兴奋的 Web3 新星项目，助力洞察区块链行业的未来发展。话不多说，让我们来看看做客第一期「TinTin AMA」的潜力项目，带你解码 W3AI 的高能技术秘籍，共赴智能 Web3 之旅！

项目介绍——W3AI

W3AI (Web3 Analytics AI) 是一个 Web3 垂直 AI 模型，定位于 Web3 行业的 AI Layer 2，旨在成为 Web3 信息、数据及服务入口。W3AI 提供在 Web3 行业的垂直类多模态 AI 产品，通过推荐、问答等方式为用户提供更智能的投资、交易及决策能力。作为 AI 引擎驱动的一站式数据分析平台，用户可以轻松获取定制化 Web3 相关的新闻、社区、交易和链上相关信息并进行数据分析和生成。同时 W3AI 还能学习用户的喜好和习惯，长期使用后将可以为用户主动提供适合用户的投资建议。

• 产品演示：youtu.be/esQWZZDOKN0
  

• 测试地址：chat.test.3analytics.ai

• Deck：docsend.com/view/ppdk2gb42rtqcvkj

活动主题

W3AI AMA：探索多模态 AI 助力智能决策

活动时间

2023 年 8 月 15 日（周二） 20:00

活动形式

Twitter Space 直播间 ：

https://twitter.com/i/spaces/1djGXlrDMrBGZ

往期精彩

重建与突破，探讨全链游戏的现在与未来

从链上应用到应用链，Web3 生态头号玩家都在如何布局？

AI 与 Web3：如何冲破炒作噱头，开启价值落地之路？

RWA 爆火能否推动金融行业走向民主、平等交易的未来？

关于我们

ABOUT US

TinTinLand 是赋能下一代开发者的技术社区，通过聚集、培育、输送开发者到各开放网络，共同定义并构建未来。

Discord: https://discord.gg/kmPnTDSFu8

Twitter: https://twitter.com/Tintinland2021

Bilibili: https://space.bilibili.com/1152852334

Medium: https://medium.com/@tintin.land2021

YouTube: https://www.youtube.com/channel/UCfHiMcFt-4btbC75FsReQh