作者:西柚,ChainCatcher
封面:Photo by Esther Jiao on Unsplash
今日,Curve 平台资金池被攻击成为加密市场头条新闻。截至目前,Curve 平台上资金池损失已高达 5200 万美元。
7 月 31 日,根据 DeFiLlama 数据显示,Curve 平台上锁仓的加密资产价值为 17 亿美元,创 2021 年 1 月以来的新低,24 小时内资产规模缩水约 50%,在 DeFi 应用中 TVL 排名已掉至前十名开外,现排名 11。
Curve 的攻击事件引发了一连串的连锁反应,使其多个 DeFi 应用受牵连。而 CRV 代币价格的剧烈波动又隐藏着潜在的链上清算危机。其中,借贷平台 Aave 禁用 CRV 借款功能,有用户猜测是为了防止有用户借币 CRV 恶意做空促使连环清算,而韩国交易所 Upbit 由于 CRV 价格波动较大宣布暂停了 CRV 代币的充提。
这次可谓是 Curve 的至暗时刻,这次会不会也像之前一样顺利度过难关呢?
攻击事件已牵连多个 DeFi 应用,还有哪些潜在风险?
如今,打开 Curve 官网页面首先映入用户眼帘的就是 Vyper 漏洞相关的资金池安全提示:由于 Vyper 重入锁故障,使用 Vyper 0.2.15、0.2.16 和 0.3.0 的资金池被攻击,这些资金池的流动性已被抽干,团队正在评估受影响的情况。受影响的资金池包括 alETH/ETH、msETH/ETH、pETH/ETH 和 CRV/ETH,其余资金池未受影响。
Curve 资金池攻击事件牵连了多个 DeFi 应用。根据派盾监测统计,截至目前,此次攻击累计损失约 5200 万美元。
其中,NFT 借贷协议 JPEG’d 发行的 pETH 在 Curve 上组成的 pETH-ETH 池损失约 1100 万美元,并使其 pETH 价格脱锚,现价格为 862 美元;DeFi 借贷协议 Alchemix 的 alETH-ETH 池遭攻击损失约 1300 万美元,现 alETH 价格为 1246 美元,仍处在脱锚状态;DeFi 合成资产协议 MetronomeDAO 的 msETH/ETH 池被盗约 160 万美元,并暂停了 Metronome 主网功能;Curve 上的 CRV/ETH 资金池被盗资金超 1000 万美元;DEX 平台 Ellipsis 损失 6.8 万美元;跨链应用 deBridge 损失 2.4 万美元等。
与此同时,Curve 的原生代币 CRV 价格在链上出现了剧烈波动,其 Uniswap 上的 CRV/WETH 交易对曾在短时间(7 月 31 日 3 点左右)内一度跌至 0.03 美元,几乎归零。现价格已恢复至 0.63 美元左右。
今日,韩国最大交易所 Upbit 发布公告称,由于 Curve 部分稳定币池被攻击,导致 CRV 波动性较大,现已暂停 Curve(CRV)充值与提币服务。
CRV 价格的剧烈波动始终牵动着用户的心弦,因为链上有大量的 CRV 抵押仓位,一旦 CRV 价格跌至一定的价位,那么将有大量的 CRV 面临清算,这往往也会使其资产产生死亡螺旋。
其中,最为备受关注的要为 Curve 创始人 Michael Egorov 的仓位所属,用户对其持有的巨额 CRV 仓位是否会被清算以及产生的连锁反应很担忧。
根据研究员 0xLoki 推文显示,Michael Egorov 在 Aave、FRAXlend、Abracadabr、Inverse 等借贷平台上共抵押了 2.92 亿枚 CRV,价值 1.81 亿美元,借出了 1.1 亿美元资金,其综合清算价格约在 0.4 美元附近。
其中,Aave 上的仓位最大,抵押了 1.9 亿 CRV,借了 6500 万美元,清算价 0.37 美元。其次是 FRAXlend 上抵押 4600 万 CRV,借了 2100 万 FRAX,清算价 0.4 美元;Abracadabr 存入 4000 万 CRV,借出 1800 万美元,清算价 0.39 美元;Inverse 上存入 1600 万 CRV,借出 700 万美元,清算价 0.4 美元。
如果 CRV 跌至 0.4 美元以下,那么 3 亿枚 CRV 将全部被清算。
不过,从链上价格来看 CRV 曾一度跌至 0.03 美元,为何未造成任何 CRV 仓位的清算?这主要是因为借贷协议多采用的报价机制是 Chainlink 预言机进行喂价。而 Chainlink 的报价机制并不是依据单一的链上数据或某个单一的 DEX,而是采用的链上(DEX)链下 (CEX) 数据加权后的平均价格,根据交易量按比例加权。
就拿这次的 CRV 来说,CEX 中币安、OKX 上的价格并没有到 0.03 美元,Chainlink 并不会报价 0.03 美元,而是多方加权后的价格,根据数据显示,Chainlink 最低价格是 0.59 美元。
正是因为 Chainlink 的报价机制差异使 CRV 在面临短时的链上异常价格时,并未让其抵押中的仓位被清算。
现在 Aave 已禁用 CRV 借款功能,有用户猜测可能是为了防止交易者利用 Curve 漏洞事件恐慌,借币 CRV 恶意做空促使连环清算。目前在 Aave 中有约 2.91 亿枚 CRV 供应,约 95% 来自 Curve 创始人 Michwill 的存入。在过去的几个小时内,创始人 Michwill 已陆续归还了部分债务的资金,并增加了 CRV 质押物。
以太坊合约语言 Vyper 漏洞导致攻击
Curve 这次攻击事件可谓牵涉面极广,用户关注度极高。不过,庆幸的是 Curve 本次被黑客攻击并不是自身的合约漏洞问题所致,而是基础层的以太坊智能合约编程语言出现了问题导致的。
就在 Curve 上稳定池被攻击后,7 月 31 日,以太坊编程语言 Vyper 发推表示,Vyper0.2.15、0.2.16 和 0.3.0 版本的重入锁失效,而 Curve 上的遭到攻击的资金池 (alETH/msETH/pETH) 是采用的 Vyper 0.2.15 部署。
Vyper 是一种 Python 系的以太坊智能合约开发语言,创建于 2017 年。与目前常用的编写以太坊智能合约 Solidity 相比,该语言对于习惯于 Python 系语言的开发者会更好上手。以太坊创始人 Vitalik 曾在推文中表示,Vyper 正在悄悄地继成为更进步的以太坊高级语言。其中,用 Vyper 编写的项目示例包括 Uniswap v1 及 Curve 等。
而本次 Vyper 提及的版本重入锁功能失效,作恶者可以多次反复重入合约,在单次交易中多次执行某些功能,导致未经授权的操作或资金被盗。
目前,Vyper 的新版本已经修复存在的漏洞,只是 Curve 被攻击的几个资金池的合约不可升级。
本次黑客攻击事件罪魁祸首其实是底层编程语言 Vyper 而不是 Curve 本身,让人松了一口气的同时,也引发了用户对于承载 DeFi 应用的基础层安全性方面的更大的担忧。因为比起应用的问题,底层语言的漏洞更让人后怕。这主要是因为基础层漏洞带来的灾难对于其链上生态影响是致命的,往往会引起多个连锁反应,重建的过程会更加困难(如 Curve 上被攻击的资金池合约不支持编程语言升级版本等),而单个应用出现问题的影响范围大多是可控的。
所幸这次不是 Solidity,而是还不那么流行的 Vyper 出了问题。
加密 KOL CM 发推表示:“Curve 被黑,Vyper 的技术层面问题,可谓是釜底抽薪,这已经不是协议本身或者说智能合约设计的问题,如果 Solidity 也同样有出问题的可能性,那么链上所有的应用也无安全可言。所以你们说 DeFi 不存在了,这还不算惨的,更悲惨的是区块链不存在了。”
不过也有用户对此表示这验证了一个真理:没有绝对的安全,当你享受了智能合约带来的好处时,也要履行相应的代价。
“多灾多难” 的 Curve能否度过这次风波?
虽然被攻击的原因与项目本身合约无关,但 Curve 依旧成为众矢之的。
有用户认为本次事件尽管是编程语言的问题,但 Curve 也难逃此咎,审查不到位也没有主动提示用户资金池所采用的编程语言。不过也有用户表示,这次事件恰好验证了 Curve 智能合约的安全性,因为其它资金池并没有都采用 Vyper,鸡蛋没有放在同一个篮子,官方分散了风险。
总的来说,这次黑天鹅事件对于 Curve 平台来说负面影响多于正面。
今年对于 Curve 来说,可谓是 “多灾多难”。
先是在 5 月底,Michael Egorov 被媒体爆出与其妻子 Anna Egorova 在墨尔本购买两处豪宅,共斥资 4100 万美元,占地面积 4251 平方米。
随后在 6 月初,Curve 创始人 Michael Egorov 先是被 ParaFi、Framework Ventures 和 1kx 知名加密 VC 联合起诉控告商业欺诈。称其于 2020 年向 Curve 投资 100 万美元之后,Michael Egorov 将这些投资款存入 Curve 的流动资金池,三家 VC 未拿到任何商业回报,既没有获得 CRV 代币也也未收到退款。并指控 Michael Egorov 无意放弃本人对 Curve 的控制权,没有向 Curve DAO 交出权力,锁定了比预期更多的 CRV 保持压倒性的控制权,一边通过质押获得奖励收益一边变卖部分代币。
接着又被用户扒出,创始人 Michael Egorov 手握三分之一以上的 CRV 流通盘,其在 Aave 中抵押的 CRV 代币总量高达 2.91 亿枚,占据 CRV 流通供应量的 34.15%。这在用户看来,Curve 创始人这是在以低成本的方式变现方式。
在 Aave 中抵押的 2.91 亿枚 CRV 一直被用户视为一个隐而未发的堰塞湖,会引发集体做空 CRV。这对 Curve 生态和 Aave 协议都是极大的威胁,用户担心 CRV 会清算遭遇死亡螺旋也会给 Aave 带来坏账。而这次的黑天鹅事件虽没有让该仓位发生清算,但再次引起了用户的担心,市场的风险是捉摸不定的,一旦极端事件发生,那么这 3 亿枚 CRV 仓位带来的影响也将是不可预测的。
虽然后来随着稳定币 crvUSD 的推出和数据的增长让用户逐渐淡忘了有关其创始人的舆论风波,但接二连三的事件对 Curve 来说打击还是不小。这次攻击后,Curve 也会依旧像前几次一样快速恢复吗?
说句公道话,似乎近期的事件无论是创始人风波还是智能合约语言漏洞引发的攻击,都和项目本身的运行没有直接关系,也无法真正对一个去中心化的项目造成致命威胁。今日,吴忌寒还发推称已经抄底 CRV,并力挺 Curve 表示:“在即将到来的 RWA 浪潮中,CRV 是最重要的基础设施之一”。
