最大的穩定幣交換協議 Curve Finance 在 7/31 清晨遭駭客攻擊後,價格一路探底,並牽動創辦人 Michael Egorov 龐大倉位的清算危機,本文為讀者整理 Curve 當前狀況更新。
(前情提要:持續更新》Curve創辦人5200萬顆CRV私賣名單:孫宇晨、麻吉大哥、Wintermute..)
(背景補充:Defi世界清算危機》若CRV跌破0.37美元,約1.15億美元CRV將強制清倉 )
Curve 協議近期由於以太坊程式語言 Vyper 的特定版本存在的 Bug,導致了四個資金池的資金被盜;除此之外,還由於 Curve 創辦人將巨量 CRV 作為抵押品在多個借貸平臺上進行借款,也使得 CRV 陷入了潛在的清算危機。
本文便從 Vyper Bug 危機以及 CRV 危機這兩個角度出發,幫助讀者梳理一下每個危機的現狀以及未來潛在的解決方案。
Vyper Bug 危機:已解除,部分資金已追回
這次 Curve 的漏洞危機本質是由於以太坊程式語言 Vyper 的幾個特定版本(0.2.15、0.2.16 和 0.3.0)存在一個 Bug,導致了重入鎖保護失效。
對於此次漏洞,受影響的資金池以及對應被盜的金額分別是:
- pETH/ETH | 6,106.65 WETH (~$11m)
- msETH/ETH| 866.55 WETH (~$1.6m) 以及 959.71 msETH (~$1.8m)
- alETH/ETH|7,258.70WETH (~$13.6m) 以及 4,821.55 alETH (~$ 9m)
- CRV/ETH | 7,193,401.77 CRV (~$5.1m 以被盜時價格計算),7,680.49 WETH (~$14.2m) 以及 2,879.65 ETH (~$5.4m)
另外,還有 Arbitrum 上的 Tricrypto(USDT+WBTC+ETH) 也受影響,不過目前尚不存在能獲利的攻擊,資金安全不受影響,但官方建議使用者也先取出資金。
前四個受影響的資金池目前的存款和質押功能已禁用,同時也已在資金池介面下架,接下來官方將會停止這幾個池子的 CRV 排放,然後為 alETH、msETH 以及 pETH 開設新的資金池,新的資金池將與 WETH 進行配對或者採用其他新的 ETH 池進行實現,而對於 CRV,目前已經通過與 crvUSD+ ETH 進行配對組成新的 Tricrypto 池,不再受重入漏洞影響。
延伸閱讀:清算逼近!Curve創辦人再還300萬鎂;協議暫停受駭池「CRV獎勵」
本次攻擊受影響的主要是這五個使用了上文提及的特定 Vyper 版本並且與原生 ETH 配對的池子,Curve 上的其他池子本質上是安全不受影響的,所以現在棄用這些受影響的池子並開設新池子後(與 WETH 配對或用安全的 Vyper 版本編譯),本次 Curve 漏洞危機便可視為已解除了(假設新的 Vyper 版本沒有未知漏洞的話 lol)。
而對於被盜資金,此前 Mev Bot 部署者 c0ffeebabe.eth 已返還了 2,879.54 ETH。對於其他被盜資金,目前鏈上偵探 @zachxbt 似乎也發現了部分潛在嫌疑人,希望後續能夠嘗試追回部分資金,減輕被盜使用者的損失。
CRV 清算危機:大概率解除,OTC 賣幣還債
CRV 的清算危機主要是來自 Curve 創辦人 Michael Egorov 在 Frax Finance 和 Aave 等借貸平臺上的抵押借貸。
雖然漏洞事件後,CRV 鏈上價格曾瞬間被暴跌至 $0.08 附近,不過由於鏈上預言機的餵價是參考多資料來源多維度的加權機制,這種瞬間爆跌插針其實並不會觸發這些借貸平臺的清算機制。
後續儘管市場上對 CRV 的唱空情緒濃烈,但 CRV 價格基本也穩定保持在 $0.5 上方,而短期內 Michael Egorov 在 Frax Finance 和 Aave 上的倉位清算價格基本在 $0.35 附近,似乎依舊有 30% 的緩衝空間,危機似乎也不是那麼緊迫?
這裡主要是在 Fraxlend 中的債務倉位給予了壓力:由於 Fraxlend 實行時間加權可變利率,因此實際上該部位對 CRV 構成了更大的風險。不過目前來看,Curve 創辦人 Michael Egorov 似乎也找到了破局方法,即通過 「OTC 交易賣出 CRV 還債」。
據 @EmberCN 監測,Curve 創辦人 Michael Egorov 已累計售出總計 5450 萬枚的 CRV,獲得了 2180 萬美元的資金。這些 CRV 的購買者包括 DWFLabs(1250 萬枚 CRV)、孫宇晨(500 萬枚 CRV)、黃立成(375 萬枚 CRV)、Cream.Finance(250 萬枚 CRV)等,均價 $0.4。
當前各大借貸平台倉位
截止本文發稿前,Curve 創辦人 Michael Egorov 在各借貸平臺上的借貸倉位大致如下:
- Aave v2 上供應了 257.44m 枚 CRV,借出了 49.25m USDT,清算價約為 $0.35。
- Frax 上供應了 38.6m 枚 CRV,借出了 9.19m 枚 FRAX,清算價約為 $0.3。
- Abracadabra 上供應了 46.65m 枚 CRV,借出了 12m MIM。
- Inverse 上供應了 29.1m 枚 CRV,借出了 7.7m DOLA。
另外,CRV 的清算壓力不僅是借款人的,也是借貸平台的。現在所有借貸平台都明白這筆借貸就是一顆定時炸彈,如果處理不當,便會造成平臺壞帳或者影響平臺其他使用者資產。
根據 @Loki_Zeng 的表述,我們可以得知各個借貸平臺的解決方案對應如下:
Fraxlend 的機制就是完善的:借貸池風險隔離 + 動態利率,不需要任何額外措施,Michael 就需要自己主動還錢。
Aave 維持著治理的去中心化,但不具備敏捷行動的能力:在治理論壇的討論較為充分及時,目前達成的共識是把 Curve 的 LTV 降成 0,凍結新增借款。但是其它提案,比如降低 LT(清算門檻)、提高利率目前仍有比較大的爭議。
Abracadabra 則為實現效率,略帶專制: 提出了將抵押品的利息應用於 CRV cauldrons 中的策略,即所有的利息都將直接收取在 cauldrons 的抵押品 CRV 上,並立即移入協議國庫,以增加 DAO 的儲備因子。進入國庫後,抵押品就可以通過鏈上交易或線下合作伙伴轉化為 MIM。
Inverse 目前尚無動靜。
其實回顧這整件事件,Curve 本身作為一個流動性 & 交易平臺,並沒有明顯過錯,雖然是它的資金池被盜導致使用者資金受損,但漏洞本質是以太坊程式語言 Vyper 的鍋。而至於 CRV 價格下跌的清算危機,本質是屬於 Michael Egorov 個人的行為所致,抵押套現約 1 億美元資金,親手為 CRV 以及借貸平臺埋下了定時炸彈。
另外,通過這次事件,也是給借貸平臺一個經驗教訓:未來該如何更好地實現使用者資金安全隔離以及合理高效的清算機制?
