Được viết bởi: Deep Chao TechFlow Cleaner

Ngày 30 tháng 7 là một đêm đáng sợ khác đối với DeFi.

21:10, pETH-ETH bị tấn công

22:50, msETH-ETH bị tấn công

23:34, alETH-ETH bị tấn công

03:08, CRV-ETH bị tấn công

……

Theo giám sát của cơ quan an ninh PeckShield, tính đến 7:26 ngày 31 tháng 7, giờ Bắc Kinh, vụ hack nhóm stablecoin Curve Finance đã gây ra tổn thất lũy kế 52 triệu USD cho Alchemix, JPEG'd, MetronomeDAO, deBridge, Ellipsis và CRV/ETH bể bơi.

Là nền tảng của hệ sinh thái DeFi, sự cố Curve Finance khiến nhiều người phải thốt lên “DeFi đã chết” trên Twitter rằng Mùa đông đang đến.

Sự cố an ninh đến từ đâu?

Theo nhóm Curve Finance, điều này là do lỗi khóa đệ quy trong một số phiên bản của ngôn ngữ lập trình Ethereum Vyper. Nhiều nhóm stablecoin (alETH/msETH/pETH) sử dụng Vyper 0.2.15 đã bị tấn công, trong khi hợp đồng crvUSD và các quỹ khác. Hồ bơi không bị ảnh hưởng.

Vyper là ngôn ngữ phát triển Ethereum mới, được tạo ra vào năm 2017. Trước vyper, ngôn ngữ được sử dụng phổ biến nhất để viết hợp đồng thông minh là tính vững chắc. So với tính vững chắc, vyper về mặt lý thuyết đơn giản hơn và an toàn hơn. Ví dụ về các dự án được viết bằng Vyper bao gồm Uniswap v1, hợp đồng tiền gửi ETH 2.0 đầu tiên và Curve Finance.

Hiện tại, phiên bản mới của Vyper đã khắc phục các lỗ hổng hiện có, nhưng hợp đồng của một số nhóm vốn Curve bị tấn công không thể nâng cấp được.

Vì vậy, thủ phạm thực chất là ngôn ngữ lập trình cơ bản Vyper chứ không phải chính Curve. Nhiều người thở phào nhẹ nhõm, cho rằng “DeFi đã chết” có thể quá đáng báo động, nhưng sau khi nghĩ lại, họ không khỏi đưa ra quyết định khác. hơi thở, "So với vấn đề ứng dụng, sơ hở trong ngôn ngữ cơ bản còn đáng sợ hơn!"

Crypto KOL CM đã tweet: “Curve đã bị hack và các vấn đề kỹ thuật của Vyper đã tiêu tan. Đây không còn là vấn đề với chính giao thức hay thiết kế của hợp đồng thông minh nữa. Nếu Solidity cũng có khả năng xảy ra sự cố, thì mọi thứ trên chuỗi sẽ bị ảnh hưởng. "Ứng dụng không có tính bảo mật. Vì vậy, sẽ chưa đủ buồn nếu bạn nói rằng DeFi không tồn tại. Điều đáng buồn hơn nữa là nếu blockchain không tồn tại."

Ngày nay, khi Ethereum EVM thống trị thế giới, các vấn đề bảo mật đã trở thành thanh kiếm của Damocles đối với tất cả các dự án kể từ khi bắt đầu Solidity cho đến nay, đã xảy ra một số lượng lớn các sự cố bảo mật, chẳng hạn như các cuộc tấn công tái nhập dẫn đến sự cố. Sự phân tách của Ethereum gồm có ETH và ETC (cổ điển), nhưng Solidity đã xây dựng bức tường rào cản sinh thái của riêng mình, cho dù đó là công cụ dành cho nhà phát triển hay nhà phát triển.

Tương tự như Metamask, vốn đã bị người dùng chỉ trích vì trải nghiệm người dùng kém, nhưng chỉ riêng trải nghiệm người dùng tốt hơn không thể thách thức câu chuyện về chuỗi công khai mới nhanh hơn và an toàn hơn không thể phá vỡ sự thống trị tuyệt đối của Ethereum EVM.

Tuy nhiên, chúng ta vẫn mong chờ được chứng kiến ​​sự xuất hiện của nhiều kẻ thách thức khác nhau, nếu không thì thế giới “chỉ có V God đi theo sự dẫn dắt của ngài” sẽ quá nhàm chán.

Khi CRV giảm 15%, một điều quan trọng khác đáng chú ý là trách nhiệm pháp lý của người sáng lập CRV Michael Egorov đối với các hợp đồng cho vay lớn.

Sau vụ hack, Egorov đã nhanh chóng trả lại một phần tiền trên nhiều nền tảng cho vay khác nhau và tăng tài sản thế chấp CRV.

Theo thống kê từ nhà nghiên cứu mã hóa 0xLoki, Egorov hiện đã thế chấp lần lượt hơn 292 triệu CRV (181 triệu USD) và cho vay 110 triệu USD:

1. 190 triệu CRV đã được thế chấp trên AAVE và 65 triệu đô la Mỹ đã được vay, với giá thanh lý là 0,37 đô la Mỹ. 2. 46 triệu CRV đã được thế chấp trên FRAXlend, 21 triệu FRAX đã được vay và giá thanh lý là 0,4 đô la Mỹ. đô la 3. Abracadabr đã gửi 40 triệu CRV và cho vay 18 triệu đô la Mỹ, giá thanh lý là 0,39 đô la Mỹ 4. Đặt cọc 16 triệu CRV trên Inverse, cho vay 7 triệu đô la Mỹ và giá thanh lý là 0,4 đô la Mỹ. .

Đánh giá từ dữ liệu trên chuỗi, CRV đã từng giảm xuống 0,08 đô la Mỹ, nhưng nó không gây ra bất kỳ sự thanh lý nào của CRV. Điều này là do AAVE sử dụng lời tiên tri của Chainlink để cung cấp giá.

Cụ thể, Chainlink không sử dụng một dữ liệu trên chuỗi duy nhất mà sử dụng giá trung bình có trọng số theo khối lượng (VWAP), tính trung bình dữ liệu từ mỗi sàn giao dịch (CEX/DEX) với nhau, nhưng tính trọng số theo tỷ lệ dựa trên khối lượng giao dịch. Trình tổng hợp dữ liệu cũng thường tính đến những khác biệt khác nhau giữa các sàn giao dịch, chẳng hạn như độ sâu thị trường, độ trễ và mức chênh lệch, đồng thời lọc ra những bất thường của thị trường như sự cố chớp nhoáng, giao dịch rửa tiền và các ngoại lệ khác để chúng không ảnh hưởng đến điểm dữ liệu tổng hợp cuối cùng. . Vì vậy, sự biến động giá bất thường trong thời gian ngắn trên dây chuyền đã không cho phép thanh lý chiếc CRV đang thế chấp.

Từ góc độ này, Chainlink không chỉ cứu Curve mà còn cả AAVE, và thậm chí có thể cứu cả dinh thự ở Úc của người sáng lập Miache.