2023年7月30日,智能合约编程语言Vyper部分版本被曝存在严重漏洞,导致包括Curve Finance在内的多个重要项目遭受攻击。据安全机构统计,此次攻击造成多方累计损失高达5200万美元。事件发生后,Curve Finance总锁仓价值(TVL)从32.66亿美元骤降至17.89亿美元,跌幅近45%。更惊险的是,CRV代币链上价格一度近乎归零,若非价格预言机未能及时跟进最低报价,多个借贷协议上的CRV抵押仓位将面临清算风险。
这一事件让市场再度审视这个DeFi蓝筹项目的安全性和可靠性。尽管创始人及时应对,社区也有支持声音,但Curve Finance的信任值确实需要重新评估。
安全事件暴露的潜在风险
屡次发生的清算危机
本次攻击事件导致CRV在去中心化交易所的价格剧烈波动,Uniswap上CRV/WETH交易对的瞬时价格最低跌至0.08美元左右。这直接威胁到了Curve创始人在多个借贷平台上的抵押仓位。
数据显示,Curve创始人Michael Egorov在Aave、FRAXlend、Abracadabr和Inverse上共抵押2.92亿枚CRV(价值约1.81亿美元),借出1.1亿美元资金,其综合清算价格约为0.4美元。如果市场价格被准确报出,这些抵押头寸将被清算,可能引发连锁反应,导致整个DeFi市场面临严重系统性风险。
这并非Curve首次面临清算危机。就在上月,dForce创始人就曾指出,Curve创始人在Aave抵押了超过33%的CRV流通盘,借出7100万稳定币,存在极大风险。随后几天,Curve 3pool中的USDT出现轻微脱锚,倾斜比例超74%,创始人不得不多次偿还代币以降低风险。
去年11月,CRV也曾遭到巨鲸做空,币价最低跌至0.4美元附近。仅依靠创始人补充抵押品和新项目发布,才避免了大规模清算。
流动性池比例倾斜频发
Curve平台上的流动性池比例倾斜问题屡见不鲜:
- 2023年6月15日,Curve 3pool中有2.05亿枚USDT被售出,导致USDT占比达74.35%,出现轻微脱锚
- 2022年11月10日,Curve 3pool中USDT占比达80.43%,而DAI和USDC占比均不足10%
- 2022年11月13日,USDD/3CRV池严重倾斜,USDD占比达81.76%
- 2022年8月26日,rETH与ETH兑换比例跌至1:0.7917,rETH占比达81.54%
这些频繁发生的流动性池倾斜现象,反映出平台流动性管理的脆弱性。
技术栈依赖与审计缺位
Curve Finance上有多个流动性池采用Vyper语言编写智能合约。安全公司分析显示,有136份合约使用了带有重入保护的Vyper 0.2.15,98份合约使用了Vyper 0.2.15版本,使用Vyper 0.2.16和Vyper 0.3.0的也有226份合约。
Vyper虽然代码库较小、易于阅读,但当编译器进行重大频繁更改时,审计工作难以同步。就在7月21日和25日,Curve生态流动性平台Conic Finance就因智能合约超出审计范围而两次遭受黑客攻击,造成400万美元损失。
市场传闻与法律挑战
6月9日,ParaFi、Framework Ventures和1kx三家加密风投机构共同起诉Curve创始人Michael Egorov欺诈和盗用商业机密,导致VC承受经济损失。随后,dForce创始人在提示风险时提到,抵押自家币做杠杆,看似惜售,实际上可能是一种引诱式做空。
类似做空事件和流言在网络社区中时有传播,进一步削弱了市场信心。
Curve Finance的竞争优势
尽管面临诸多挑战,Curve Finance作为去中心化交易所的领先项目,仍具有相当的市场地位和竞争优势。
交易效率与滑点控制
Curve专注于稳定币交换,使用成本更低。通过限制池和每个池中的资产类型,Curve不易受波动资产价格变动影响,最大限度地减少了无常损失。由于机制设计和项目方合作,有更多种类的稳定币和合成资产在Curve上组建流动性池,对于大部分稳定币交易对,用户可以直接相互交易。
合成资产领域的优势
受益于与各项目方良好的合作关系,Curve在sETH和renBTC等资产上拥有良好收益。同样,由于充足的流动性和LP激励,Curve获得了以太坊2.0质押协议Lido的支持,成为半官方的stETH流动性池。
协议收入分配机制
Curve中所有代币交换费用统一为0.04%,存取款手续费在0%-0.02%之间。协议收入的一半将分配给CRV代币质押者,这种分配机制无疑为Curve带来了更多的用户及流动性提供者。👉查看实时收益数据
生态系统丰富度
与Uniswap相比,Curve生态项目众多,包括核心生态项目、合作项目和用户项目等。这些项目为Curve提供直接的协议收入(流动性采购费用),为流动性市场在流动性募集或采购上提供体验优化,同时吸收并增加CRV(或CVX)的锁定,避免CRV大量流向二级市场。
常见问题
Curve Finance最近安全事件的影响有多大?
据PeckShield统计,此次Vyper漏洞导致包括Curve在内的多个项目损失约5200万美元。Curve的TVL从32.66亿美元降至17.89亿美元,跌幅约45%。虽然数额巨大,但并未对项目造成致命打击。
CRV抵押仓位为何面临清算风险?
Curve创始人在多个借贷平台上抵押了大量CRV代币借出稳定币,其综合清算价格约在0.4美元附近。而攻击事件导致CRV价格一度跌至0.08美元,若非价格预言机未能及时跟进,这些仓位将被清算。
Curve相比其他DEX有何优势?
Curve专注于稳定币和锚定资产交易,具有更低的手续费和滑点。其协议收入一半分配给CRV质押者,生态项目丰富,与多个重要项目有深度合作,特别是在合成资产领域具有优势。
投资者现在应如何看待Curve?
尽管存在风险,但Curve仍然是DeFi领域的重要基础设施。投资者应密切关注项目安全改进进展、流动性状况和团队应对能力,根据自身风险承受能力做出决策。👉获取风险管理策略
Curve如何避免类似事件再次发生?
项目方需要升级或迁移过于陈旧的Vyper版本,加强合约审计,考虑实施漏洞赏金计划,并改善流动性管理机制。
CRV代币的长期价值支撑是什么?
CRV的价值取决于Curve协议的交易量、费用收入和生态发展。一半协议收入分配给质押者,生态项目增加CRV锁定量,以及平台在稳定币交易领域的领先地位,都是其价值支撑。
结语
正如Vyper贡献者所言,完全解决此次攻击事件的漏洞可能需要数周至数月时间,需要赏金计划来帮助改进Vyper。过于陈旧的Vyper版本需要进行升级或迁移才能提供更高的安全保障。
就本次事件而言,并未对Curve Finance造成致命性打击,更谈不上DeFi的末日来临。然而,加密市场始终如同黑暗森林,无论看好或看空Curve Finance,投资者都应保持谨慎理智的态度,全面评估项目的技术基础、风险管理能力和生态活力。在DeFi领域前行,既需要看到创新带来的机遇,也要清醒认识其中蕴含的风险。