你们说 DeFi 不存在了,这并不足够悲伤,更悲伤的是如果区块链不存在了。
撰文:深潮 TechFlow 清洁工
7月30日,又是一个DeFi 惊魂夜。
21:10, pETH-ETH 被攻击
22:50, msETH-ETH 被攻击
23:34, alETH-ETH 被攻击
03:08, CRV-ETH 被攻击
……
据安全机构PeckShield监测,截至北京时间7月31日7:26,Curve Finance稳定币池黑客攻击事件已造成Alchemix、JPEG'd、MetronomeDAO、deBridge、Ellipsis和CRV/ETH池累计损失达5200万美元。
作为DeFi生态的基石,Curve Finance 此次事件让不少人惊呼“DeFi已死”,神鱼在推特上表示,Winter is coming。
安全事故来自何方?
据 Curve Finance团队称称,这是由于以太坊编程语言Vyper的一些版本出现递归锁故障,许多使用Vyper 0.2.15的稳定币池(alETH/msETH/pETH)遭到攻击,而crvUSD合约和其它资金池不受影响。
Vyper 是一种全新的以太坊开发语言,创建于 2017 年,在vyper之前,编写智能合约最常用的语言是solidity。相较于solidity,vyper理论上更简单、更安全,用 Vyper 编写的项目示例包括 Uniswap v1 、第一个 ETH 2.0 存款合约以及 Curve Finance。
目前,Vyper的新版本已经修复存在的漏洞,只是被攻击的几个Curve资金池的合约不可升级。
所以,罪魁祸首其实是底层编程语言Vyper而不是Curve本身,不少人松了一口气,认为“DeFi已死”或许过于危言耸听,但是转念一想,不由得再吸一口凉气,“比起应用的问题,底层语言的漏洞更让人后怕”!
加密KOL CM发推表示:“Curve被黑,Vyper的技术层面问题,可谓是釜底抽薪,这已经不是协议本身或者说智能合约设计的问题,如果Solidity也同样有出问题的可能性,那么链上所有的应用也无安全可言。所以你们说DeFi不存在了,这并不足够悲伤,更悲伤的是如果区块链不存在了。”
在以太坊EVM一统天下的今天,安全问题成为了所有项目方头上的达摩克利斯之剑,Solidity 从诞生之初到现在,出现了大量的安全事故,比如重入攻击曾导致以太坊分叉为ETH和ETC(经典),但是Solidity已经构建了起了自己的生态壁垒墙,无论是开发者工具,还是开发者。
类似于Metamask被用户诟病使用体验差,但是光靠更好的使用体验却无法挑战Metamask,新公链仅更快更安全的叙事也无法打破以太坊EVM的绝对霸主地位。
但是,我们依然期待看到各类挑战者的出现,否则,“唯V神马首是瞻”的世界也太无聊了一点。
伴随着CRV大跌15%,另一件值得关心的大事是,CRV创始人Michael Egorov 在各大借贷协议上的负债情况。
在黑客事件发生后,Egorov 火速在各个借贷平台上归还部分资金,且增加CRV质押物。
据加密研究员0xLoki统计,目前Egorov 累计抵押超过2.92亿枚CRV(1.81亿美元),借出1.1亿美元,分别是:
1.AAVE上抵押了1.9亿CRV,借了6500万美元,清算价0.37美元;
2. FRAXlend上抵押4600万CRV,借了2100万FRAX,清算价0.4美元;
3.Abracadabr存入4000万CRV,借出1800万美元,清算价0.39美元;
4.Inverse上存入1600万CRV,借出700万美元,清算价0.4美元。
从链上数据来看,CRV曾经一度跌至0.08美元,但是却未造成任何CRV的清算,这是由于 AAVE 是用Chainlink的预言机进行喂价。
具体而言,Chainlink 并不是采用单一的链上数据,而是交易量加权平均价格(VWAP),将每个交易所(CEX/DEX)的数据一起平均,但根据交易量按比例加权。数据聚合器通常还会考虑交易所之间的各种差异,例如市场深度、延迟和价差,并过滤掉闪电崩盘、清洗交易和其他异常值等市场异常情况,这样它们就不会影响最终聚合的数据点。 因此短时的链上异常价格让并未让抵押中的CRV被清算。
从这个角度出发,Chainlink 不仅拯救了Curve,也拯救了AAVE,说不定还拯救了创始人Miache的澳洲豪宅。