你們說 DeFi 不存在了,這並不足夠悲傷,更悲傷的是如果區塊鏈不存在了。
原文作者:深潮 TechFlow 清潔工、原文來源:深潮 TechFlow
7月30日,又是一個DeFi 驚魂夜。
- 21:10, pETH-ETH 被攻擊
- 22:50, msETH-ETH 被攻擊
- 23:34, alETH-ETH 被攻擊
- 03:08, CRV-ETH 被攻擊
- ……
據安全機構PeckShield監測,截至台灣時間7月31日7:26,Curve Finance穩定幣池駭客攻擊事件已造成Alchemix、JPEG’d、MetronomeDAO、deBridge、Ellipsis和CRV/ETH池累計損失達5,200萬美元。
作爲DeFi生態的重要基礎,Curve Finance 此次事件讓不少人驚呼“DeFi已死”,神魚在推特上表示,Winter is coming。
安全事故來自何方?
據 Curve Finance團隊稱,這是由於以太坊程式語言Vyper的一些版本出現遞歸鎖故障,許多使用Vyper 0.2.15的穩定幣池(alETH/msETH/pETH)遭到攻擊,而crvUSD合約和其它資金池不受影響。
Vyper 是一種全新的以太坊開發語言,創建於 2017 年,在vyper之前,撰寫智能合約最常用的語言是solidity。相較於solidity,vyper理論上更簡單、更安全,用 Vyper 撰寫的項目範例包括 Uniswap v1 、第一個 ETH 2.0 存款合約以及 Curve Finance。
目前,Vyper的新版本已經修複存在的漏洞,只是被攻擊的幾個Curve資金池的合約不可升級。
所以,罪魁禍首其實是底層程式語言Vyper而不是Curve本身,不少人鬆了一口氣,認爲“DeFi已死”或許過於危言聳聽,但是轉念一想,不由得再吸一口涼氣,“比起應用的問題,底層語言的漏洞更讓人後怕”!
加密KOL CM發推表示:“Curve被駭,Vyper的技術層面問題,可謂是釜底抽薪,這已經不是協議本身或者說智能合約設計的問題,如果Solidity也同樣有出問題的可能性,那麽鏈上所有的應用也無安全可言。所以你們說DeFi不存在了,這並不足夠悲傷,更悲傷的是如果區塊鏈不存在了。”
在以太坊EVM一統天下的今天,安全問題成爲了所有項目方頭上的達摩克利斯之劍,Solidity 從誕生之初到現在,出現了大量的安全事故,比如重入攻擊曾導緻以太坊分叉爲ETH和ETC(經典),但是Solidity已經構建了起了自己的生態壁壘牆,無論是開發者工具,還是開發者。
類似於Metamask被用戶詬病使用體驗差,但是光靠更好的使用體驗卻無法挑戰Metamask,新公鏈僅更快更安全的叙事也無法打破以太坊EVM的絕對霸主地位。
但是,我們依然期待看到各類挑戰者的出現,否則,“唯V神馬首是瞻”的世界也太無聊了一點。
伴随着CRV大跌15%,另一件值得關心的大事是,CRV創始人Michael Egorov 在各大借貸協議上的負債情況。
在駭客事件發生後,Egorov 火速在各個借貸平台上歸還部分資金,且增加CRV質押物。
據加密研究員0xLoki統計,目前Egorov 累計抵押超過2.92億枚CRV(1.81億美元),借出1.1億美元,分别是:
- AAVE上抵押了1.9億CRV,借了6500萬美元,清算價0.37美元;
- FRAXlend上抵押4600萬CRV,借了2100萬FRAX,清算價0.4美元;
- Abracadabr存入4000萬CRV,借出1800萬美元,清算價0.39美元;
- Inverse上存入1600萬CRV,借出700萬美元,清算價0.4美元。
從鏈上數據來看,CRV曾經一度跌至0.08美元,但是卻未造成任何CRV的清算,這是由於AAVE 是用Chainlink的預言機進行喂價。
具體而言,Chainlink 並不是採用單一的鏈上數據,而是交易量加權平均價格(VWAP),將每個交易所(CEX/DEX)的數據一起平均,但根據交易量按比例加權。數據聚合器通常還會考慮交易所之間的各種差異,例如市場深度、延遲和價差,並過濾掉閃電崩盤、清洗交易和其他異常值等市場異常情況,這樣它們就不會影響最終聚合的數據點。 因此短時的鏈上異常價格讓並未讓抵押中的CRV被清算。
從這個角度出發,Chainlink 不僅拯救了Curve,也拯救了AAVE,說不定還拯救了創始人Miache的澳洲豪宅。