Napisał: Deep Chao TechFlow Cleaner

30 lipca był kolejną przerażającą nocą dla DeFi.

21:10, zaatakowany został pETH-ETH

22:50, zaatakowano msETH-ETH

23:34, zaatakowano alETH-ETH

03:08, zaatakowano CRV-ETH

……

Według monitoringu prowadzonego przez agencję bezpieczeństwa PeckShield, na dzień 31 lipca o godzinie 7:26 czasu pekińskiego incydent związany z włamaniem do puli stabilnych monet Curve Finance spowodował skumulowane straty w wysokości 52 milionów dolarów dla firm Alchemix, JPEG'd, MetronomeDAO, deBridge, Ellipsis i CRV/ETH totalizator piłkarski.

Incydent Curve Finance, będący kamieniem węgielnym ekosystemu DeFi, spowodował, że wiele osób wykrzyknęła: „DeFi nie żyje”. Shenyu powiedział na Twitterze, że nadchodzi zima.

Skąd biorą się incydenty związane z bezpieczeństwem?

Według zespołu Curve Finance jest to spowodowane awarią blokady rekurencyjnej w niektórych wersjach języka programowania Ethereum Vyper. Wiele pul monet stabilnych (alETH/msETH/pETH) korzystających z Vyper 0.2.15 zostało zaatakowanych, podczas gdy kontrakt crvUSD i inne fundusze. Nie ma to wpływu na basen.

Vyper to nowy język programistyczny Ethereum, stworzony w 2017 roku. Przed vyperem najczęściej używanym językiem do pisania inteligentnych kontraktów była solidność. W porównaniu z solidnością vyper jest teoretycznie prostszy i bezpieczniejszy. Przykłady projektów napisanych przy użyciu Vyper obejmują Uniswap v1, pierwszą umowę depozytową ETH 2.0 i Curve Finance.

Obecnie nowa wersja Vypera naprawiła istniejące luki, ale nie można zaktualizować kontraktów kilku zaatakowanych pul kapitałowych Curve.

Dlatego winowajcą jest w rzeczywistości podstawowy język programowania Vyper, a nie sam Curve. Wiele osób odetchnęło z ulgą, myśląc, że stwierdzenie „DeFi nie żyje” może być zbyt alarmistyczne, ale po zastanowieniu nie mogli powstrzymać się od napisania kolejnego. oddech, „W porównaniu z problemem aplikacji luki w języku źródłowym są jeszcze bardziej przerażające!”

Crypto KOL CM napisał na Twitterze: „Curve zostało zhakowane, a problemy techniczne Vypera są drenażem na dnie. Nie jest to już problem z samym protokołem ani projektem inteligentnego kontraktu. Jeśli Solidity również może powodować problemy, wtedy będzie to miało wpływ na wszystko w łańcuchu. Aplikacja nie jest zabezpieczona. Nie jest więc wystarczająco smutne, gdy mówisz, że DeFi nie istnieje. Jeszcze smutniejsze jest to, że blockchain nie istnieje.”

Dziś, gdy Ethereum EVM dominuje na świecie, kwestie bezpieczeństwa stały się Mieczem Damoklesa we wszystkich projektach. Od początku Solidity do chwili obecnej doszło do wielu incydentów związanych z bezpieczeństwem, takich jak ataki typu „re-entry”, które doprowadziły do ​​​​ataku. Podział Ethereum to ETH i ETC (klasyczny), ale Solidity zbudowało własną ścianę bariery ekologicznej, niezależnie od tego, czy są to narzędzia programistyczne, czy programiści.

Podobnie jak Metamask, który był krytykowany przez użytkowników za słabe wrażenia użytkownika, ale samo lepsze doświadczenie użytkownika nie może podważyć narracji nowego łańcucha publicznego o szybkości i bezpieczeństwie, nie może przełamać absolutnej dominacji Ethereum EVM.

Jednak nadal nie możemy się doczekać pojawienia się różnych pretendentów, w przeciwnym razie świat „tylko V God podąża za jego przykładem” byłby zbyt nudny.

Gdy CRV spadł o 15%, kolejną ważną rzeczą, na którą warto zwrócić uwagę, są zobowiązania założyciela CRV Michaela Egorowa wynikające z głównych umów kredytowych.

Po incydencie z włamaniem Egorov szybko zwrócił część środków na różnych platformach pożyczkowych i zwiększył zabezpieczenie CRV.

Według statystyk badacza szyfrowania 0xLoki, Egorov zadeklarował obecnie odpowiednio ponad 292 miliony CRV (181 milionów dolarów) i pożyczył 110 milionów dolarów:

1. 190 mln CRV było obciążone hipoteką na AAVE i pożyczono 65 mln dolarów amerykańskich, a cena likwidacyjna wyniosła 0,37 dolara amerykańskiego. 2. 46 mln CRV było obciążone hipoteką na FRAXlend, pożyczono 21 mln FRAX, a cena likwidacyjna wyniosła 0,4 U.S. dolarów. 3. Abracadabr zdeponował 40 milionów CRV i pożyczył 18 milionów dolarów, cena likwidacji wynosi 0,39 dolara amerykańskiego. 4. Zdeponuj 16 milionów CRV na Inverse, pożycz 7 milionów dolarów, a cena likwidacji wynosi 0,4 dolara. .

Sądząc po danych dotyczących sieci, CRV spadł kiedyś do 0,08 dolara amerykańskiego, ale nie spowodowało to żadnej likwidacji CRV, ponieważ AAVE wykorzystuje wyrocznię Chainlink do ustalania cen.

W szczególności Chainlink nie wykorzystuje pojedynczych danych w łańcuchu, ale średnią cenę ważoną wolumenem (VWAP), która uśrednia dane z każdej giełdy (CEX/DEX), ale waży je proporcjonalnie na podstawie wolumenu obrotu. Agregatory danych zazwyczaj biorą również pod uwagę różne różnice między giełdami, takie jak głębokość rynku, opóźnienia i spready, a także odfiltrowują anomalie rynkowe, takie jak nagłe awarie, transakcje typu wash i inne wartości odstające, tak aby nie miały one wpływu na ostateczny punkt danych zbiorczych . W związku z tym krótkoterminowe nietypowe wahania cen w sieci nie pozwoliły na likwidację obciążonej hipoteką CRV.

Z tej perspektywy Chainlink nie tylko uratował Curve, ale także AAVE, a może nawet uratował australijską rezydencję założyciela Miache’a.