Curve攻击事件调查报告
近日Curve被攻击的起因、对DeFi生态的影响程度,以及CRV价格暴跌现在是否可以抄底等,并请关注今晚八点半美国劳工局将公布的大非农数据,防范市场波动以免造成损失。
7月31日凌晨。Curve Finance 在内的一些重要项目遭受了攻击。在12小时内超过 4500 万美元的流动性从借贷协议、合成资产 、NFT 借贷平台 JPEG'd 的池中中流失,还有近 2500 万美元从 CRV兑ETH 池中流出。初步估计Curve损失的金额高达 7000 万美元。被盗资金的一部分大约500万美元已被白帽黑客追回。
Curve是以太坊上的去中心化流动池交易所,从事稳定币与挂钩资产的互换和交易。无许可性、低门槛、可组合、流动性的低成本和管理方案的灵活性被看作是Curve的核心价值。被攻击后的CRV 价格触底至 0.5175 美元,但Curve仍持有 700 万枚 CRV(约 450 万美元)。
攻击事件发生后,CRV价格的暴跌甚至差一点导致Curve创始人在AAVE上抵押的2.92亿枚CRV约1.81亿美元资产被清算,幸好Chainlink采用的是链上链下价格的加权才避免了这场灾难。截至发稿,这场事故总共导致的损失已经超过了6000万美元,CRV的价格恢复到了0.57美元左右。
经调查,导致这次攻击的根本原因是Curve使用的编程语言Vyper的某些版本出现了漏洞,导致Curve中用这些有漏洞的语言写的资金池发生了故障,从而被黑客利用掏空了池子。由于这些池子中的资金关联到一系列DeFi项目,所以这个漏洞又连带把一系列DeFi项目拖下了水。
虽然此次针对智能合约语言层的攻击在DeFi领域很少见,但以往的DeFi世界中,像FTX的崩溃、加密友好银行的关门、Luna事件等也都在DeFi领域发生过。因此,这次事件从被攻击的编程语言角度来看,那就是区块链的综合安全程度还是太低了。
Vyper作为第二受欢迎的智能合约编程语言,和 Solidity 一样都是一种面向智能合约的编程语言,可编译为以太坊虚拟机(EVM)的字节代码运行在 EVM 上。无论它是基于Python 开发的特性、将局部变量存储在内存中而不是堆栈上,还是提供更多内置函数,对Curve而言,它都应当对基础的编程语言进行风险考核(Curve 合约较为复杂,Vyper 使得这些复杂性变得更易于管理,并进一步节省 Gas)。作为DeFi的基石,Curve项目方应预判到攻击事件带来的后果。
与此同时,另一个更让人担心的隐忧浮现出来:如果DeFi生态普遍使用的编程语言Solidity出现问题,那整个DeFi生态(Uniswap、Comp、MakerDAO、AAVE等等全部是用Solidity编写的)是不是会全军覆没?
以太坊生态的创新越来越依赖智能合约,而智能合约的安全性又远远跟不上创新的脚步,这样的发展路径会不会反而会影响生态的发展?因此我们越来越期盼以太坊生态在一边发展智能合约创新的同时,能够更多地尝试另一种路径的创新:比如ORC 20铭文技术。它只需要将数据写在链上,而执行机制可以灵活地放到链下。 这样做在安全上灵活性更大,即便出问题,补救措施也能更高效地起作用。如果铭文技术能在以太坊生态中发展起来,会极大丰富整个生态的多样性,给项目方和用户更多的选择。最终通过市场竞争让这两种创新路径找到各自最适合的应用场景。这一定会使以太坊和以太坊生态更为强大和灿烂。
最后,如果您问我这个时候趁着CRV价格暴跌是否可以加大买入CRV。
对此我认为要谨慎,虽然Curve事故的根本原因不在项目方,但Vyper是否会继续爆出其它的安全事故?这场事故是否会继续动摇人们对Curve的信心等一系列疑问目前看还是未知数。因此我不会在这个时候买入,相反我建议先暂停对它的定投。等更多的调查结果出笼,确认这只是偶然事故后,再做决定。
Scan QR code with WeChat