Curve 協(xié)議近期由于以太坊編程語言 Vyper 的特定版本存在的 Bug，導(dǎo)致了四個(gè)資金池的資金被盜；除此之外，還由于 Curve 創(chuàng)始人將巨量 CRV 作為抵押品在多個(gè)借貸平臺上進(jìn)行借款，也使得 CRV 陷入了潛在的清算危機(jī)。本文便從 Bug 危機(jī)以及 CRV 危機(jī)這兩個(gè)角度出發(fā)，幫助讀者梳理一下每個(gè)危機(jī)的現(xiàn)狀以及未來潛在的解決方案。

Bug 危機(jī)：已解除，部分資金已追回

這次 Curve 的漏洞危機(jī)本質(zhì)是由于以太坊編程語言 Vyper 的幾個(gè)特定版本（0.2.15、0.2.16 和 0.3.0）存在一個(gè) Bug，導(dǎo)致了重入鎖保護(hù)失效。

對于此次漏洞，受影響的資金池以及對應(yīng)被盜的金額分別是：

• pETH/ETH | 6,106.65 WETH (~$11m)
• msETH/ETH| 866.55 WETH (~$1.6m) 以及 959.71 msETH (~$1.8m)
• alETH/ETH|7,258.70WETH (~$13.6m) 以及 4,821.55 alETH (~$ 9m)
• CRV/ETH | 7,193,401.77 CRV (~$5.1m 以被盜時(shí)價(jià)格計(jì)算 )，7,680.49 WETH (~$14.2m) 以及 2,879.65 ETH (~$5.4m)
• 另外，還有 Arbitrum 上的 Tricrypto（USDT+WBTC+ETH） 也受影響，不過目前尚不存在能獲利的攻擊，資金安全不受影響，但官方建議用戶也先取出資金。

前四個(gè)受影響的資金池目前的存款和質(zhì)押功能已禁用，同時(shí)也已在資金池界面下架，接下來官方將會停止這幾個(gè)池子的 CRV 排放，然后為 alETH、msETH 以及 pETH 開設(shè)新的資金池，新的資金池將與 WETH 進(jìn)行配對或者采用其他新的 ETH 池進(jìn)行實(shí)現(xiàn)，而對于 CRV，目前已經(jīng)通過與 crvUSD+ ETH 進(jìn)行配對組成新的 Tricrypto 池，不再受重入漏洞影響。

本次攻擊受影響的主要是這五個(gè)使用了上文提及的特定 Vyper 版本并且與原生 ETH 配對的池子，Curve 上的其他池子本質(zhì)上是安全不受影響的，所以現(xiàn)在棄用這些受影響的池子并開設(shè)新池子后（與 WETH 配對或用安全的 Vyper 版本編譯），本次 Curve 漏洞危機(jī)便可視為已解除了（假設(shè)新的 Vyper 版本沒有未知漏洞的話 lol）。

而對于被盜資金，此前 Mev Bot 部署者 c0ffeebabe.eth 已返還了 2,879.54 ETH。對于其他被盜資金，目前鏈上偵探 @zachxbt 似乎也發(fā)現(xiàn)了部分潛在嫌疑人，希望后續(xù)能夠嘗試追回部分資金，減輕被盜用戶的損失。

CRV 清算危機(jī)：大概率解除，OTC 賣幣還債

CRV 的清算危機(jī)主要是來自 Curve 創(chuàng)始人 Michael Egorov 在 Frax Finance 和 Aave 等借貸平臺上的抵押借貸。

雖然漏洞事件后，CRV 鏈上價(jià)格曾瞬間被暴跌至 $0.08 附近，不過由于鏈上預(yù)言機(jī)的喂價(jià)是參考多數(shù)據(jù)源多維度的加權(quán)機(jī)制，這種瞬間爆跌插針其實(shí)并不會觸發(fā)這些借貸平臺的清算機(jī)制。后續(xù)盡管市場上對 CRV 的唱空情緒濃烈，但 CRV 價(jià)格基本也穩(wěn)定保持在 $0.5 上方，而短期內(nèi) Michael Egorov 在 Frax Finance 和 Aave 上的倉位清算價(jià)格基本在 $0.35 附近，似乎依舊有 30% 的緩沖空間，危機(jī)似乎也不是那么緊迫？

這里主要是在 Fraxlend 中的債務(wù)倉位給予了壓力：由于 Fraxlend 實(shí)行時(shí)間加權(quán)可變利率，因此實(shí)際上該頭寸對 CRV 構(gòu)成了更大的風(fēng)險(xiǎn)。在 Fraxlend 100% 的利用率下，利率將每 12 小時(shí)翻一番，預(yù)計(jì)在 3.5 天后將提高到最高 10,000%。這個(gè)超高利率最終可能導(dǎo)致 Michael 頭寸清算，而不管價(jià)格如何。最大 LTV 為 75%，其頭寸清算價(jià)格會在 4.5 天內(nèi)達(dá)到 $0.517。

不過目前來看，Curve 創(chuàng)始人 Michael Egorov 似乎也找到了破局方法，即通過 「OTC 交易賣出 CRV 還債」。

據(jù) @EmberCN 監(jiān)測，Curve 創(chuàng)始人 Michael Egorov 已累計(jì)售出總計(jì) 5450 萬枚的 CRV，獲得了 2180 萬美元的資金。這些 CRV 的購買者包括 DWFLabs（1250 萬枚 CRV）、孫宇晨（500 萬枚 CRV）、黃立成（375 萬枚 CRV）、Cream.Finance（250 萬枚 CRV）等，均價(jià) $0.4。

截止本文發(fā)稿前，Curve 創(chuàng)始人 Michael Egorov 在各借貸平臺上的借貸倉位大致如下：

• Aave v2 上供應(yīng)了 257.44m 枚 CRV，借出了 49.25m USDT，清算價(jià)約為 $0.35。
• Frax 上供應(yīng)了 38.6m 枚 CRV，借出了 9.19m 枚 FRAX，清算價(jià)約為 $0.3。
• Abracadabra 上供應(yīng)了 46.65m 枚 CRV，借出了 12m MIM。
• Inverse 上供應(yīng)了 29.1m 枚 CRV，借出了 7.7m DOLA。

另外，CRV 的清算壓力不僅是借款人的，也是借貸平臺的?，F(xiàn)在所有借貸平臺都明白這筆借貸就是一顆定時(shí)炸彈，如果處理不當(dāng)，便會造成平臺壞賬或者影響平臺其他用戶資產(chǎn)。

根據(jù) @Loki_Zeng 的表述，我們可以得知各個(gè)借貸平臺的解決方案對應(yīng)如下：

• Fraxlend 的機(jī)制就是完善的：借貸池風(fēng)險(xiǎn)隔離 + 動態(tài)利率，不需要任何額外措施，Michael 就需要自己主動還錢。
• Aave 維持著治理的去中心化，但不具備敏捷行動的能力：在治理論壇的討論較為充分及時(shí)，目前達(dá)成的共識是把 Curve 的 LTV 降成 0，凍結(jié)新增借款。但是其它提案，比如降低 LT（清算門檻）、提高利率目前仍有比較大的爭議。
• Abracadabra 則為實(shí)現(xiàn)效率，略帶專制： 提出了將抵押品的利息應(yīng)用于 CRV cauldrons 中的策略，即所有的利息都將直接收取在 cauldrons 的抵押品 CRV 上，并立即移入?yún)f(xié)議國庫，以增加 DAO 的儲備因子。進(jìn)入國庫后，抵押品就可以通過鏈上交易或線下合作伙伴轉(zhuǎn)化為 MIM。
• Inverse 目前尚無動靜。

其實(shí)回顧這整件事件，Curve 本身作為一個(gè)流動性 & 交易平臺，并沒有明顯過錯(cuò)，雖然是它的資金池被盜導(dǎo)致用戶資金受損，但漏洞本質(zhì)是以太坊編程語言 Vyper 的鍋。而至于 CRV 價(jià)格下跌的清算危機(jī)，本質(zhì)是屬于 Michael Egorov 個(gè)人的行為所致，抵押套現(xiàn)約 1 億美元資金，親手為 CRV 以及借貸平臺埋下了定時(shí)炸彈。另外，通過這次事件，也是給借貸平臺一個(gè)經(jīng)驗(yàn)教訓(xùn)：如何更好地實(shí)現(xiàn)用戶資金安全隔離以及合理高效的清算機(jī)制？

相關(guān)鏈接：

https://hackmd.io/@LlamaRisk/BJzSKHNjn

https://twitter.com/Loki_Zeng/status/1686624941171720192

https://zapper.xyz/account/0x7a16ff8270133f063aab6c9977183d9e72835428?tab=apps

你可能感興趣的文章

• 

  MakerDAO創(chuàng)始人：Curve被黑可能是牛市前最后一次崩盤

  昨日Curve事件撼動了DeFi和整體加密貨幣市場，去中心化穩(wěn)定幣協(xié)議MakerDAO共同創(chuàng)辦人Rune Christensen昨晚表示Curve遭到漏洞利用，導(dǎo)致生態(tài)系統(tǒng)中的壞賬和清算風(fēng)險(xiǎn)，但這可…

  2023-08-01
• 

  Curve創(chuàng)始人在FRAX抵押倉位面臨危機(jī)！逼近清算價(jià)格

  在昨日清晨遭黑客攻擊，據(jù)安全機(jī)構(gòu)派盾(PeckShield)發(fā)布的統(tǒng)計(jì)資料，受影響的資金高達(dá)7000萬美元，而整起事件后續(xù)最受市場關(guān)注的就是Curve創(chuàng)辦人Michael Egorov日前利用CRV…

  2023-08-01
• 

  Curve穩(wěn)定幣池遭黑 客攻擊、損失2676萬美元！CRV暴跌近20％

  去中心化交易所Curve Finance在今(31)日清晨驚傳遭黑！據(jù)鏈上安全機(jī)構(gòu)派盾(PeckShield)發(fā)文，Curve Finance的alETH/msETH/pETH資金池遭黑客 攻擊，損失超2676萬美元,…

  2023-08-01
• 

  Curve穩(wěn)定幣crvUSD上線滿一個(gè)月！表現(xiàn)如何？

  這篇文章主要介紹了Curve穩(wěn)定幣crvUSD上線滿一個(gè)月！表現(xiàn)如何？的相關(guān)資料,需要的朋友可以參考下…

  2023-06-20
• 

  Curve創(chuàng)始人累計(jì)抵押33%CRV流通量！從Aave借出大量穩(wěn)定幣

  這篇文章主要介紹了Curve創(chuàng)始人累計(jì)抵押33%CRV流通量！從Aave借出大量穩(wěn)定幣的相關(guān)資料,需要的朋友可以參考下…

  2023-06-13
• 

  Curve上線穩(wěn)定幣crvUSD測試版！目前只支持sfrxETH抵押鑄造

  這篇文章主要介紹了Curve上線穩(wěn)定幣crvUSD測試版！目前只支持sfrxETH抵押鑄造的相關(guān)資料,需要的朋友可以參考下…

  2023-05-19
• 

  Curve穩(wěn)定幣crvUSD主網(wǎng)正式上線 上線4個(gè)流動池CRV跳漲

  這篇文章主要介紹了Curve穩(wěn)定幣crvUSD主網(wǎng)正式上線 上線4個(gè)流動池CRV跳漲的相關(guān)資料,需要的朋友可以參考下本文詳細(xì)內(nèi)容介紹…

  2023-05-05