Escrito por: Limpiador Deep Chao TechFlow
El 30 de julio fue otra noche aterradora para DeFi.
21:10, pETH-ETH fue atacado
22:50, msETH-ETH fue atacado
23:34, alETH-ETH fue atacado
03:08, CRV-ETH fue atacado
……
Según el seguimiento de la agencia de seguridad PeckShield, a las 7:26 del 31 de julio, hora de Beijing, el incidente de piratería del fondo de moneda estable de Curve Finance ha causado pérdidas acumuladas de 52 millones de dólares a Alchemix, JPEG'd, MetronomeDAO, deBridge, Ellipsis y CRV/ Grupos de ETH.
Como piedra angular del ecosistema DeFi, el incidente de Curve Finance hizo que muchas personas exclamaran “DeFi está muerta”. Shenyu dijo en Twitter que se acerca el invierno.
¿De dónde vienen los incidentes de seguridad?
Según el equipo de Curve Finance, esto se debe a una falla de bloqueo recursivo en algunas versiones del lenguaje de programación Ethereum Vyper. Muchos grupos de monedas estables (alETH/msETH/pETH) que usaban Vyper 0.2.15 fueron atacados, mientras que el contrato crvUSD y otros fondos. La piscina no se ve afectada.
Vyper es un nuevo lenguaje de desarrollo de Ethereum, creado en 2017. Antes de vyper, el lenguaje más utilizado para escribir contratos inteligentes era la solidez. En comparación con la solidez, vyper es teóricamente más simple y seguro. Ejemplos de proyectos escritos con Vyper incluyen Uniswap v1, el primer contrato de depósito ETH 2.0 y Curve Finance.
En la actualidad, la nueva versión de Vyper ha solucionado las vulnerabilidades existentes, pero los contratos de varios fondos de capital de Curve que fueron atacados no se pueden actualizar.
Por lo tanto, el culpable es en realidad el lenguaje de programación subyacente Vyper, no el propio Curve. Muchas personas dieron un suspiro de alivio, pensando que "DeFi está muerto" puede ser demasiado alarmista, pero después de pensarlo, no pudieron evitar tomar otro. aliento, "En comparación con el problema de la aplicación, ¡las lagunas en el lenguaje subyacente son aún más aterradoras!"
Crypto KOL CM tuiteó: "Curve fue pirateado y los problemas técnicos de Vyper son un drenaje en el fondo del pozo. Esto ya no es un problema con el protocolo en sí o el diseño del contrato inteligente. Si Solidity también tiene la posibilidad de problemas, entonces todo en la cadena se verá afectado". No hay seguridad en la aplicación. Por lo tanto, no es suficientemente triste decir que DeFi no existe. Lo que es aún más triste es que la cadena de bloques no existe".
Hoy en día, cuando Ethereum EVM domina el mundo, los problemas de seguridad se han convertido en la espada de Damocles sobre todos los proyectos. Desde el inicio de Solidity hasta el presente, ha habido una gran cantidad de incidentes de seguridad, como ataques de reentrada que llevaron al fracaso. Las bifurcaciones de Ethereum son ETH y ETC (clásicas), pero Solidity ha construido su propio muro de barrera ecológica, ya sean herramientas de desarrollo o desarrolladores.
Similar a Metamask, que ha sido criticado por los usuarios por su mala experiencia de usuario, pero una mejor experiencia de usuario por sí sola no puede desafiar la narrativa de Metamask de ser más rápida y segura no puede romper el dominio absoluto de Ethereum EVM.
Sin embargo, todavía esperamos ver el surgimiento de varios retadores; de lo contrario, el mundo de "solo V Dios sigue su ejemplo" sería demasiado aburrido.
Mientras CRV se desplomaba un 15%, otro aspecto importante al que vale la pena prestar atención son los pasivos del fundador de CRV, Michael Egorov, en importantes acuerdos de préstamo.
Después del incidente de piratería, Egorov devolvió rápidamente parte de los fondos en varias plataformas de préstamos y aumentó la garantía CRV.
Según las estadísticas del investigador de cifrado 0xLoki, Egorov ha prometido actualmente más de 292 millones de CRV (181 millones de dólares) y ha prestado 110 millones de dólares, respectivamente:
1. AAVE hipotecó 190 millones de CRV, pidió prestados 65 millones de dólares estadounidenses y el precio de liquidación fue de 0,37 dólares. 2. FRAXlend hipotecó 46 millones de CRV, pidió prestados 21 millones de FRAX y el precio de liquidación fue de 0,4 dólares. 3. Abracadabr depositó 40 millones de CRV y prestó. 18 millones de dólares estadounidenses, el precio de liquidación es de 0,39 dólares estadounidenses. 4. Deposite 16 millones de CRV en Inverse, preste 7 millones de dólares estadounidenses y el precio de liquidación sea de 0,4 dólares estadounidenses.
A juzgar por los datos de la cadena, CRV cayó una vez a 0,08 dólares estadounidenses, pero no provocó ninguna liquidación de CRV. Esto se debe a que AAVE utiliza el oráculo de Chainlink para alimentar los precios.
Específicamente, Chainlink no utiliza un único dato en cadena, sino un precio promedio ponderado por volumen (VWAP), que promedia los datos de cada intercambio (CEX/DEX) juntos, pero los pondera proporcionalmente en función del volumen de operaciones. Los agregadores de datos también suelen tener en cuenta varias diferencias entre los intercambios, como la profundidad del mercado, la latencia y los diferenciales, y filtran anomalías del mercado como caídas repentinas, operaciones de lavado y otros valores atípicos para que no afecten el punto de datos agregado final. . Por tanto, la fluctuación anormal de precios a corto plazo en la cadena no permitió liquidar el CRV hipotecado.
Desde esta perspectiva, Chainlink no solo salvó a Curve, sino también a AAVE, y tal vez incluso salvó la mansión australiana del fundador Miache.
