作者:西柚,ChainCatcher
封面:Photo by Esther Jiao on Unsplash
今日,Curve 平台資金池被攻擊成為加密市場頭條新聞。 截至目前,Curve 平台上資金池損失已高達 5200 萬美元。
7 月 31 日,根據 DeFiLlama 數據顯示,Curve 平臺上鎖倉的加密資產價值為 17 億美元,創 2021 年 1 月以來的新低,24 小時內資產規模縮水約 50%,在 DeFi 應用中 TVL 排名已掉至前十名開外,現排名 11。
Curve 的攻擊事件引發了一連串的連鎖反應,使其多個 DeFi 應用受牽連。 而 CRV 代幣價格的劇烈波動又隱藏著潛在的鏈上清算危機。 其中,借貸平臺 Aave 禁用 CRV 借款功能,有使用者猜測是為了防止有使用者借幣 CRV 惡意做空促使連環清算,而韓國交易所 Upbit 由於 CRV 價格波動較大宣佈暫停了 CRV 代幣的充提。
這次可謂是 Curve 的至暗時刻,這次會不會也像之前一樣順利度過難關呢?
攻擊事件已牽連多個 DeFi 應用,還有哪些潛在風險?
如今,打開 Curve 官網頁面首先映入使用者眼簾的就是 Vyper 漏洞相關的資金池安全提示:由於 Vyper 重入鎖故障,使用 Vyper 0.2.15、0.2.16 和 0.3.0 的資金池被攻擊,這些資金池的流動性已被抽乾,團隊正在評估受影響的情況。 受影響的資金池包括 alETH/ETH、msETH/ETH、pETH/ETH 和 CRV/ETH,其餘資金池未受影響。
Curve 资金池攻击事件牵连了多个 DeFi 应用。根据派盾监测统计,截至目前,此次攻击累计损失约 5200 万美元。
其中,NFT 借贷协议 JPEG’d 发行的 pETH 在 Curve 上组成的 pETH-ETH 池损失约 1100 万美元,并使其 pETH 价格脱锚,现价格为 862 美元;DeFi 借贷协议 Alchemix 的 alETH-ETH 池遭攻击损失约 1300 万美元,现 alETH 价格为 1246 美元,仍处在脱锚状态;DeFi 合成资产协议 MetronomeDAO 的 msETH/ETH 池被盗约 160 万美元,并暂停了 Metronome 主网功能;Curve 上的 CRV/ETH 资金池被盗资金超 1000 万美元;DEX 平台 Ellipsis 损失 6.8 万美元;跨链应用 deBridge 损失 2.4 万美元等。
与此同时,Curve 的原生代币 CRV 价格在链上出现了剧烈波动,其 Uniswap 上的 CRV/WETH 交易对曾在短时间(7 月 31 日 3 点左右)内一度跌至 0.03 美元,几乎归零。现价格已恢复至 0.63 美元左右。
今日,韓國最大交易所 Upbit 發佈公告稱,由於 Curve 部分穩定幣池被攻擊,導致 CRV 波動性較大,現已暫停 Curve(CRV)充值與提幣服務。
CRV 價格的劇烈波動始終牽動著使用者的心弦,因為鏈上有大量的 CRV 抵押倉位,一旦 CRV 價格跌至一定的價位,那麼將有大量的 CRV 面臨清算,這往往也會使其資產產生死亡螺旋。
其中,最為備受關注的要為 Curve 創始人 Michael Egorov 的倉位所屬,使用者對其持有的巨額 CRV 倉位是否會被清算以及產生的連鎖反應很擔憂。
根據研究員 0xLoki 推文顯示,Michael Egorov 在 Aave、FRAXlend、Abracadabr、Inverse 等借貸平臺上共抵押了 2.92 億枚 CRV,價值 1.81 億美元,借出了 1.1 億美元資金,其綜合清算價格約在 0.4 美元附近。
其中,Aave 上的倉位最大,抵押了 1.9 億 CRV,借了 6500 萬美元,清算價 0.37 美元。 其次是 FRAXlend 上抵押 4600 萬 CRV,借了 2100 萬 FRAX,清算價 0.4 美元; Abracadabr 存入 4000 萬 CRV,借出 1800 萬美元,清算價 0.39 美元; Inverse 上存入 1600 萬 CRV,借出 700 萬美元,清算價 0.4 美元。
如果 CRV 跌至 0.4 美元以下,那麼 3 億枚 CRV 將全部被清算。
不過,從鏈上價格來看 CRV 曾一度跌至 0.03 美元,為何未造成任何 CRV 倉位的清算? 這主要是因為借貸協定多採用的報價機制是 Chainlink 預言機進行喂價。 而 Chainlink 的報價機制並不是依據單一的鏈上數據或某個單一的 DEX,而是採用的鏈上(DEX)鏈下(CEX)數據加權後的平均價格,根據交易量按比例加權。
就拿這次的 CRV 來說,CEX 中幣安、OKX 上的價格並沒有到 0.03 美元,Chainlink 並不會報價 0.03 美元,而是多方加權後的價格,根據數據顯示,Chainlink 最低價格是 0.59 美元。
正是因為 Chainlink 的報價機制差異使 CRV 在面臨短時的鏈上異常價格時,並未讓其抵押中的倉位被清算。
現在 Aave 已禁用 CRV 借款功能,有用戶猜測可能是為了防止交易者利用 Curve 漏洞事件恐慌,借幣 CRV 惡意做空促使連環清算。 目前在 Aave 中有約 2.91 億枚 CRV 供應,約 95% 來自 Curve 創始人 Michwill 的存入。 在過去的幾個小時內,創始人 Michwill 已陸續歸還了部分債務的資金,並增加了 CRV 質押物。
乙太坊合約語言 Vyper 漏洞導致攻擊
Curve 這次攻擊事件可謂牽涉面極廣,用戶關注度極高。 不過,慶幸的是 Curve 本次被駭客攻擊並不是自身的合約漏洞問題所致,而是基礎層的乙太坊智慧合約程式設計語言出現了問題導致的。
就在 Curve 上穩定池被攻擊后,7 月 31 日,乙太坊程式設計語言 Vyper 發推表示,Vyper0.2.15、0.2.16 和 0.3.0 版本的重入鎖失效,而 Curve 上的遭到攻擊的資金池(alETH/msETH/pETH)是採用的 Vyper 0.2.15 部署。
Vyper 是一種 Python 系的乙太坊智慧合約開發語言,創建於 2017 年。 與目前常用的編寫乙太坊智能合約 Solidity 相比,該語言對於習慣於 Python 系語言的開發者會更好上手。 乙太坊創始人 Vitalik 曾在推文中表示,Vyper 正在悄悄地繼成為更進步的乙太坊高級語言。 其中,用 Vyper 編寫的專案示例包括 Uniswap v1 及 Curve 等。
而本次 Vyper 提及的版本重入鎖功能失效,作惡者可以多次反覆重入合約,在單次交易中多次執行某些功能,導致未經授權的操作或資金被盜。
目前,Vyper 的新版本已經修復存在的漏洞,只是 Curve 被攻擊的幾個資金池的合約不可升級。
本次駭客攻擊事件罪魁禍首其實是底層程式設計語言 Vyper 而不是 Curve 本身,讓人鬆了一口氣的同時,也引發了使用者對於承載 DeFi 應用的基礎層安全性方面的更大的擔憂。 因為比起應用的問題,底層語言的漏洞更讓人後怕。 這主要是因為基礎層漏洞帶來的災難對於其鏈上生態影響是致命的,往往會引起多個連鎖反應,重建的過程會更加困難(如 Curve 上被攻擊的資金池合約不支援程式設計語言升級版本等),而單個應用出現問題的影響範圍大多是可控的。
所幸這次不是 Solidity,而是還不那麼流行的 Vyper 出了問題。
加密 KOL CM 發推表示:“Curve 被黑,Vyper 的技術層面問題,可謂是釜底抽薪,這已經不是協定本身或者說智慧合約設計的問題,如果 Solidity 也同樣有出問題的可能性,那麼鏈上所有的應用也無安全可言。 所以你們說 DeFi 不存在了,這還不算慘的,更悲慘的是區塊鏈不存在了。 ”
不過也有使用者對此表示這驗證了一個真理:沒有絕對的安全,當你享受了智慧合約帶來的好處時,也要履行相應的代價。
多災多難 “ 的 Curve能否度過這次風波?
雖然被攻擊的原因與專案本身合約無關,但 Curve 依舊成為眾矢之的。
有用戶認為本次事件儘管是程式設計語言的問題,但 Curve 也難逃此咎,審查不到位也沒有主動提示用戶資金池所採用的程式設計語言。 不過也有使用者表示,這次事件恰好驗證了 Curve 智慧合約的安全性,因為其它資金池並沒有都採用 Vyper,雞蛋沒有放在同一個籃子,官方分散了風險。
總的來說,這次黑天鵝事件對於 Curve 平台來說負面影響多於正面。
今年對於 Curve 來說,可謂是「多災多難」。。
先是在 5 月底,Michael Egorov 被媒體爆出與其妻子 Anna Egorova 在墨爾本購買兩處豪宅,共斥資 4100 萬美元,佔地面積 4251 平方米。
隨後在 6 月初,Curve 創始人 Michael Egorov 先是被 ParaFi、Framework Ventures 和 1kx 知名加密 VC 聯合起訴控告商業欺詐。 稱其於 2020 年向 Curve 投資 100 萬美元之後,Michael Egorov 將這些投資款存入 Curve 的流動資金池,三家 VC 未拿到任何商業回報,既沒有獲得 CRV 代幣也也未收到退款。 並指控 Michael Egorov 無意放棄本人對 Curve 的控制權,沒有向 Curve DAO 交出權力,鎖定了比預期更多的 CRV 保持壓倒性的控制權,一邊通過質押獲得獎勵收益一邊變賣部分代幣。
接著又被使用者扒出,創始人 Michael Egorov 手握三分之一以上的 CRV 流通盤,其在 Aave 中抵押的 CRV 代幣總量高達 2.91 億枚,佔據 CRV 流通供應量的 34.15%。 這在用戶看來,Curve 創始人這是在以低成本的方式變現方式。
在 Aave 中抵押的 2.91 億枚 CRV 一直被使用者視為一個隱而未發的堰塞湖,會引發集體做空 CRV。 這對 Curve 生態和 Aave 協定都是極大的威脅,用戶擔心 CRV 會清算遭遇死亡螺旋也會給 Aave 帶來壞賬。 而這次的黑天鵝事件雖沒有讓該倉位發生清算,但再次引起了使用者的擔心,市場的風險是捉摸不定的,一旦極端事件發生,那麼這 3 億枚 CRV 倉位帶來的影響也將是不可預測的。
雖然後來隨著穩定幣 crvUSD 的推出和數據的增長讓用戶逐漸淡忘了有關其創始人的輿論風波,但接二連三的事件對 Curve 來說打擊還是不小。 這次攻擊后,Curve 也會依舊像前幾次一樣快速恢復嗎?
說句公道話,似乎近期的事件無論是創始人風波還是智慧合約語言漏洞引發的攻擊,都和專案本身的運行沒有直接關係,也無法真正對一個去中心化的專案造成致命威脅。 今日,吳忌寒還發推稱已經抄底 CRV,並力挺 Curve 表示:“在即將到來的 RWA 浪潮中,CRV 是最重要的基礎設施之一”。
免責聲明:作為區塊鏈資訊平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。 本文內容僅用於資訊分享,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。
