撰寫:DEFI DAVE
編譯:深潮TechFlow
蛇在人類的集體潛意識中有著特殊的地位。它們象徵著轉變、重生、不朽和治愈。本周可以說,DeFi 經歷了它自己的重生。一種有毒的0-day 漏洞深入到Vyper 編程語言的編譯器中,從而在整個堆棧和市場中產生連鎖反應,讓做空者垂涎三尺。
作為DeFi 的中流砥柱之一,Curve Finance 在整個事件中處於核心地位,將該協議推向了迄今為止最具挑戰性的測試,需要採取前所未有的行動來減輕潛在的漏洞造成的損害。鏈上的白帽們與黑客們進行了激烈的對抗,白帽們試圖恢復損失,而黑客們則試圖提取價值數百萬美元的流動性。與此同時,像Curve 創始人Michael Egorov 和其他人這樣建設者們則緊守陣地,利用他們最親密合作夥伴Frax 的新型激勵機制,再加上與一些盟友的場外交易,似乎拯救了CRV 代幣免於陷入死亡螺旋。
與每次危機一樣,協議在最不利的條件下經受了壓力測試。那些倖存下來的人變得更加強大,而那些沒有倖存下來的人則只能滅亡。去中心化金融並不陌生於數百億美元消失得無影無踪,就像去年Terra Luna 發生的情況一樣。儘管我們談論的是協議,但它們是由人組成的。在這艱難的時刻,我們看到集體站了出來,供全世界見證,要么大獲成功,要么淘汰出局。
隨著戰爭硝煙最終消散,我們可以思考發生了什麼,為什麼會發生,以及它對去中心化金融的未來意味著什麼。毫不懷疑,儘管最糟糕的情況大部分已經過去,但確實需要進行一些自我反思。
(被遺忘的)機器中的幽靈
Vyper 是一種面向以太坊虛擬機(EVM)的編程語言,於2017 年推出。儘管比Solidity 不太受歡迎,但Vyper 為EVM 提供了更多的語言多樣性,這對於避免單一文化至關重要。我甚至不敢想像如果只有一種語言存在,情況會更加糟糕。無論如何,Curve 使用Vyper 來創建和部署他們的智能合約。事實上,為了強調其重要性,去年Curve 社區批准了一個供應商評估,用於資助Vyper 的開發。
這個漏洞最終歸結為對編譯器審計激勵的問題。編譯器是一種神奇的軟件設備,將人類編寫的計算機語言轉化為機器可讀的代碼。它們存在於一個被錯誤地認為是安全的堆棧部分,因此沒有受到主要關注智能合約層面的審計人員的關注。此外,由於其結構的特點,相比Solidity,Vyper 更容易閱讀,從而更容易找到漏洞。在Vyper 遭受黑客攻擊後的幾天裡,社區成員提出了多次呼籲,希望能夠創造適當的激勵機制,以防止類似的漏洞再次發生。
然而,對於黑客來說,動機是顯而易見的,他們深入虛擬機中尋找潛在的獎勵,因為易受攻擊的協議的懸賞機會越來越少。在牛市持續數年的時候,非知名項目獲得了數億美元的市值鎖定(TVL),使它們成為誘人目標。隨著機會越來越少,精明的操作者被迫尋求創新,最終導致他們去了一個經常被遺忘的地方,編譯器。
為了讓人們對這個漏洞被忽視了多久有所了解,這個漏洞自2021 年以來一直存在,直到最新版本的Vyper 0.3.1 中才被意外修復。然而,那些包含原生ETH 並且使用版本0.2.15、0.2.16 和0.3.0 編寫的流動性池合約仍然在繼續運行。第一次攻擊發生在周末,當一切結束時,價值6900 萬美元的價值被竊取。受到攻擊最嚴重的是JPEG’D、Alchemix、Metronome 甚至Curve 自身的流動性池。
在面對漏洞時,時間至關重要,隱私更是如此。在危機時刻,白帽們團結一致尋找解決方案。英雄們崛起,比如0xc0ffeebabe,他的努力和行動將挽回數百萬美元的資金。不幸的是,並非每個人都站在同一條戰線上。正如Otter Sec 的審計師Robert Chen 所說:“審計師不為他們的報告所產生的外部性付費。相反,他們通過點贊、轉發和宣傳來獲得回報。”在這裡,我們再次發現激勵機制的作用,但與其說是黑客們在尋找殘羹剩飯,不如說是審計師們更看重轉發而不是恢復資金。
鯊魚環視的CRV
CRV 是一種與Curve 協議緊密相連的治理代幣。它的重要性在於它激勵的行為,即深度流動性。那些將他們的CRV 鎖定為veCRV 的人可以對向LP 提供的獎勵方向進行投票。這種開創性的模型為複雜的投票激勵生態系統奠定了基礎,並幫助Curve 贏得了“流動性黑洞”的綽號。
Vyper 漏洞影響最大的一個池子是Curve 上的CRV/ETH 交易對,這是CRV 在鏈上的主要流動性來源。這似乎給Michael 帶來了麻煩,因為他擁有大量自己的CRV(以及在Fraxlend、AAVE、Abracadabra 等各種借貸協議中的大部分供應)。如果他被清算,將使CRV 接近零,並使Curve 建立的整個激勵結構陷入混亂。
Michael 對管理借貸頭寸並不陌生。事實上,根據Curve Cap 的數據,Michael 自2018 年以來一直在利用鏈上貨幣市場,從未被清算過,甚至一次都沒有。正是通過與借貸協議的互動,Michael 受到啟發,建立了Curve,以便在穩定幣之間進行平滑的交換,這後來推動他部署了crvUSD,提供了一種更溫和的清算機制。現在,鯊魚在他流血的抵押頭寸周圍游動,Michael 需要迅速採取行動,防止它們吞噬他的CRV 頭寸,他做了他最擅長的事情。
在所有的借貸協議中,需要優先考慮的是他的Fraxlend 頭寸。 Michael 在Fraxlend 上有一筆1700 萬美元的貸款,價值2400 萬美元的抵押品,該交易對的利用率接近100%。 Fraxlend 的設計是,當利用率達到最大點時,如果達到100%,它會自動將利率乘以2,每12 小時翻倍一次。如果不加以處理,該交易對的年化收益率將達到數千個百分點,肯定會被清算。
Michael 採取了前所未有的舉措,他創建了一種獨一無二的儀表,獎勵那些用fFRAX 為CRV/FRAX(Fraxlend CRV 交易對中FRAX 的收據代幣)提供流動性的人。這個儀表的目標是激勵人們藉出FRAX,以降低CRV/FRAX 的利用率。作為Frax 債務的二級市場,這種激勵機制在未來可能還有其他有趣的用途。
除了激勵措施之外,更強大的是堅如磐石的關係,即使在最極端的情況下也可以依靠的聯盟。來自加密領域的OG 和現任有影響力的人都給予了支持,甚至包括吳忌寒在內的人都發推說他要買入。在他發布fFRAX/crvUSD 激勵儀表後的幾個小時內,數百萬CRV 被以場外交易的方式賣給了Justin Sun、DCF God、CT2P 和未知的匿名者。一旦這些銷售消息開始公開,CRV 的價格就會恢復,並且數百萬美元的空頭頭寸將被清算。隨著場外交易仍在進行中,CRV 和Curve 似乎將度過這一天。
結論
最緊迫的危險幾乎已經過去,有待安全地管理貸款頭寸,我們可以從這一連串動蕩的事件中得出什麼結論呢?首先,那些說“DeFi 已死”的人是錯誤的,事實上,它比以往任何時候都更強大。
如果這種危機發生在傳統金融的不透明世界中,我們可能要等到幾年後才能聽到完整的細節。由於這個故事是在鏈上書寫的,所有人都能看到,我們能夠逐個交易地剖析發生了什麼。這種前所未有的透明度使我們能夠一塊一塊地監控借貸協議和流動性池的健康狀況,並了解為什麼會採取某些行動。
然而,我們必須記住,儘管DeFi 使機會均等化,並降低了人們參與的門檻,但這並不意味著結果是平等的。激勵措施不關心感受,它們關心的是積累更多的價值。無論是黑客攻擊的貨幣價值,還是組織恢復的社會地位,推薦給借貸協議的參數的動機,或者在償還借款人背後的經濟博弈理論,過去一周發生的每一個行動都是冷酷無情的激勵措施的結果。
如果DeFi 真的要達到傳統金融的水平,尤其是在更多的價值變得岌岌可危的情況下,它必須與激勵驅動的世界的現實作鬥爭,並進行相應的建設。這就是中本聰的思考方式,同樣我們也必須為了繁榮而做相同的事情。
聲明:本內容為作者獨立觀點,不代表0x财经 立場,且不構成投資建議,請謹慎對待,如需報導或加入交流群,請聯繫微信:VOICE-V。
來源:深潮TechFlow