作者:Climber,金色財經
7月30日,智能合約編程語言Vyper 的部分版本被發現存在嚴重漏洞,導致包括Curve Finance 在內的一些重要項目遭受攻擊。據PeckShield統計,此次攻擊致使多方累計損失已多達5200萬美元。
其中,Curve Finance TVL從32.66億美元降至17.89億美元,降幅約為45%近乎腰斬。但尤為驚險的是,攻擊事件發生後CRV鏈上瞬時價格近乎歸零,若非 Chainlink 未能及時跟進報出最低價,那麼建立在多個借貸協議上的CRV 抵押債倉將直接面臨清算風險。
對此驚魂一幕,韓國排名前五的交易紛紛表態提醒投資者謹慎看待CRV價值,有的甚至暫停了CRV的充值和提現服務。不過,鑑於市場價格反應,有網友表示受損流動性池僅三、四個,問題不大。吳忌寒則公開表態稱已抄底CRV,繼續看好Curve Finance。
以往Curve Finance曾多次遭遇清算危機,而此次尤為危險,那麼這一DeFi藍籌項目究竟還有多少信任度值得投資者期待?
減分項
1、三次清算危機
受此次攻擊事件影響,CRV在多個DEX上的交易價格均出現劇烈波動,其中Uniswap 上CRV/WETH 交易對的瞬時價格最低一度跌至0.08 美元左右。
而CRV 在多個借貸協議設有抵押債倉,特別是Curve 創始人Michael Egorov 分別在Aave、FRAXlend、Abracadabr、Inverse 上共抵押2.92 億枚CRV(約合1.81 億美元),借出了1.1 億美元資金,其綜合清算價格約在0.4 美元附近。
如果一旦Chianlink 即使報出0.08 美元價位,那麼這些抵押頭寸無疑將會被清算。更嚴重的是,屆時FUD情緒蔓延,DeFi世界將面臨災難性影響。
類似的最近一次清算危機就發生在上月,dForce創始人Mindao發文稱,Curve創始人在Aave存了超過33% CRV流通盤的代幣,但卻藉出7100萬穩定幣,這存在極大風險。
隨後幾天,Curve 3pool中的USDT出現輕微脫錨,USDT傾斜比例超74%。
對此,Curve Finance創始人不得不多次償還代幣以降低清算風險。其中最多的一筆為其關聯錢包將3800萬個Curve DAO代幣(相當於2400萬美元)存入去中心化借貸平台Aave。
而去年11月份,CRV 曾遭到巨鯨做空,幣價最低到達0.4美元附近。藉由Curve創始人向AAVE補充2000萬枚CRV及其項目推出的穩定幣CrvUSD白皮書發布,CRV才免於被大量清算的局面。
2、流動性池傾斜頻發
2023年:
6 月15 日,由於Curve 3pool中有2.05 億枚USDT 被售出,導致USDT 佔比達74.35%(301,753,409 枚),並出現輕微輕微脫錨。
2022年:
11月10日,Curve 3pool中USDT 佔比已達80.43%(742,416,062 枚),而DAI 和USDC 的佔比分別為9.79%和9.77%。
11 月13 日,Curve 中的USDD/3CRV 發生嚴重傾斜,其中USDD 佔比達81.76%(32,679,832 枚);DAl 佔比2.99%(1,196,988 枚);USDC 佔比3.00%(1,200,247 枚);USDT 佔比12.23%(4,891,589 枚)。 USDD 和USDC 的兌換比例為1:0.981282。
8 月26 日,Curve上rETH與ETH兌換比例跌至1:0.7917,流動性池比例嚴重傾斜,rETH 佔比達81.54%。
類似上述現像在Curve上還有多例。
3、生態項目依賴Vyper語言,審計缺位
Curve Finance上有多個流動性池採用Vyper語言編寫智能合約,根據安全公司Ancilia 對受影響合約的分析,有136 份合約使用了帶有重入保護的Vyper 0.2.15,98 份合約使用了Vyper 0.2.15 版本,使用Vyper 0.2.16和Vyper 0.3.0公有226 份合約。
由於Vyper的代碼庫較小,容易閱讀,且對其歷史進行分析的更改也更少。因此當編譯器進行重大頻繁更改時,審計工作就難以同步。
7月21日與7月25日,Curve生態流動性平台Conic Finance就因智能合約超出審計範圍而兩次受到黑客攻擊造成400萬美元損失。
4、做空流言,訴訟纏身
6 月9 日,ParaFi、Framework Ventures 和1kx 三家加密風投機構共同起訴Curve 創始人Michael Egorov 欺詐和盜用商業機密,導致VC 承受經濟損失。
接著在6月12日,dForce創始人Mindao在提示Curve創始人抵押大量CRV借款穩定幣有極大風險的同時也提到,抵押自家幣做槓槓,看起來是惜售,實際上是一種引誘式做空。
類似Curve做空事件和流言也常見於網絡社區中。
加分項
Curve Finance由Michael Egorov創立,於2020 年1 月推出,旨在提供一個採用自動做市商(AMM)架構構建的去中心化交易所(DEX),主要聚焦於穩定幣(USDT、USDC、DAI) 、合成資產/衍生品/錨定資產(wBTC、renBTC、stETH)等。除以Ethereum為主要業務陣地外,還進行了多鏈部署。
儘管此次攻擊事件受損嚴重,但Curve Finance依然在DEX中位列第二。
評價一個項目好壞只需要將其與賽道龍頭進行對比即可,而與DEXs龍頭Uniswap 相比,Curve Finance有以下優勢:
1、效率和滑點
Curve 更專注於穩定幣交換,因此使用成本更低。由於Curve 的機制和項目方合作,有更多種類的穩定幣和合成資產到Curve 上組建流動性池,對於大部分穩定幣交易對,在Curve 上可以直接相互交易。
另外通過限制池和每個池中的資產類型,不易受波動資產價格變動影響,Curve 最大限度地減少了無常損失。
2、合成資產
受益於與各項目方良好的合作關係,Curve 在\)sETH 和$renBTC 上擁有良好的收益。
同樣,由於充足的流動性/LP 激勵,Curve 得了以太坊2.0 質押協議Lido 的支持,成為半官方的\(stETH 池。
3、協議收入
Curve 中所有Token 交換費用統一為0.04%,存取款手續費在0% - 0.02% 之間。但Curve 協議收入一半將分配給\)CRV Token 質押者。
對於這種協議收入的分配定比,無疑將會為Curve帶來更多的用戶及LP。
4、生態數量
Uniswap上配套型項目稀少,而Curve生態項目眾多,就其生態重要性大致分為:核心生態項目,生態項目、合作項目、用戶項目。
而這些項目可以為Curve提供直接的協議收入,即流動性採購費用;為Curve的核心業務——流動性市場——在流動性募集或流動性採購上提供體驗優化或協助;吸收並增加CRV(或CVX)的鎖定,避免CRV流向二級市場。
結語
正如Vyper貢獻者@fubuloubu所言,找到此次攻擊事件的漏洞需要幾周到幾個月的時間,因此需要賞金計劃來幫助改進Vyper。但過於陳舊的Vyper版本依然需要進行升級或者遷移才能提供更高的安全保障。
就此次攻擊事件來說,並未對Curve Finance造成致命性打擊,也更談不上DeFi的末日來臨。同樣,加密市場依然是一座黑暗森林,無論看好或看跌Curve Finance,都要保持謹慎理智。
APP 
