Curve危机面前是否无计可施?从DeFi挖矿角度看应对策略
时间:2023-08-02 来源:区块链网络 作者:区块律动BlockBeat
原文作者:Luke(DeFi 爱好者、Cobo Argus 产品负责人) DeFi 世界这两天正由于 Curve 遭遇的最新一起攻击而危机重重。从 7 月 30 日被攻击开始,CRV 价格从 0.74 USDT 暴跌至 0.5 USDT 以下,今天略有反弹,目前稳定在 0.6 USDT 上方。虽然目前已经查明这次攻击是由于旧版本的以太坊编程语言 Vyper 存在 Bug 所致,但是 Curve 面临的危机依然并未消除。 由于 Curve 创始人将持有大量 CRV 在链上抵押借贷,一旦价格进一步下跌,就有可能导致大量 CRV 被清仓,形成连环暴仓,让 CRV 价格归零也不是没有可能。Curve 作为 DeFi 领域体量最大协议之一,其面临的最新危机对 DeFi 的安全性和可信度也再次形成了重大打击,这对 DeFi 未来发展也可能产生诸多不利影响。 在此,笔者仅从参与 DeFi 挖矿的矿工角度出发,探讨一下如何在日常 DeFi 挖矿时对类似潜在风险进行预防,以及有什么可行的方案和工具可以使用。 事件背景 首先,我们通过时间线简单回顾 Curve 危机的发生过程。 7 月 30 日,21:34,Curve 上的 pETH-ETH pool 遭受攻击,pETH 价格跌至 $383。22:50,Curve 上的 msETH-ETH pool 遭受攻击。23:34,Curve 上的 alETH-ETH 遭受攻击。 7 月 31 日,0:44,以太坊编程语言 Vyper 发推表示,Vyper 0.2.15、0.2.16 和 0.3.0 版本版本的重入锁失效。 0:45,Curve 推特发文表示,由于重入锁故障,使用了 Vyper 0.2.15 的稳定币池 (alETH/msETH/pETH) 遭到攻击,其他池是安全的。 3:08 CRV-ETH 被攻击,链上 CRV 最低跌倒 0.08 左右。 16:41 Curve 推特发文,建议大家移除 Arb 上 Tricrypto 池的流动性,虽然没有被攻击,但是该池子可能也处于风险。 由于 Curve 被攻击,链上也出现了大量异常事件,CRV 价格暴跌,mich 的借贷仓位可能被清算的恐慌,导致了用户从 Aave 中提取流动性,USDC 和 USDT 的利率异常升高。DeFi 世界正在卷入一系列连带的风险中。 原因分析 这次安全事故的特殊之处在于,是智能合约语言层面的 Bug,导致了一些知名项目的重入锁防御失效。不幸中的万幸,是 Vyper 而不是 Solidity 出现问题,不然可能整个 DeFi 世界都岌岌可危。 DeFi 因为低摩擦成本和可组合性,以及提高了高于传统世界的投资收入,吸引了大量用户参与 DeFi,但是钱包安全和智能合约安全一直都是悬在 DeFi 头顶的达摩斯之剑。 Euler、Curve 等久经考验的老牌协议暴雷,确实让很多 DeFi 的信仰者开始失去信心,一旦协议出现问题,往往就是整个本金全部亏损,除了智能合约风险外,还有钓鱼风险、私钥泄漏风险等,如何在参与 DeFi 时,可以实现兼具安全和效率,一直是困扰行业的难题。 Cobo 团队一直长期活跃在 DeFi 领域,也以注重安全而著称。在 Cobo 内部,已经针对各类 DeFi 安全问题,有一套内部的解决方案。Cobo 团队现在将这套内部解决方案产品化后对外,推出了 Cobo Argus,一个针对 DeFi 场景的解决方案,并且在新版本上线后很快达到了 1 亿美金的 TVL。 应对策略 针对类似于 Curve 昨晚发生的事件,事前预防几乎无法做到。对于一般 DeFi 挖矿者,只能看是否能第一时间发现问题并采取应对措施,这种情况下如果能够合理利用好诸如 Cobo Argus 这样的工具就会起到极大帮助。Cobo Argus 提供的撤退机器人功能,可以监控链上风险指标,在出现异常时,帮助用户第一时间撤退。 以下就针对 Curve 的情况,具体分析一下在 Cobo Argus 上如何利用撤退机器人: 在 Curve 以上池子出现问题时,有两个明显的信号: 1、出现了挂钩资产的较大程度脱钩。 2、因为黑客攻击和大户出逃,出现了 TVL 大降。 如果使用 Cobo Argus,我们可以设置这两项监控指标,监控 LP 池子中某个代币的占比,以及监控用户投入的本金,与 LP 池子中全部资金量的对比。这样我们就可以第一时间监控到异常,并且由机器人自动撤回本金。 在一般情况下,大部分用户都是通过推特上白帽的警告,才知道 DeFi 协议出现了风险,可能这时已经距离攻击发生过去了几个小时,已经没有了拯救本金的机会。 而通过机器人去监控链上的风险指标,在有风险信号时第一时间自动撤离,可以非常有效的帮用户拯救资产。 Cobo Argus 针对主流协议和流动性池,推出了相应的撤退机器人,可以有效帮用户监控风险与拯救本金。 黑客攻击、代币脱钩、借贷协议挤兑……各类链上风险事件,都可以通过一些特定的指标去监控。Cobo Argus 也允许用户设置自定义机器人,自定义监控指标与机器人被触发后合约调用。 对于有较好 DeFi 知识的专家级用户,可以自己设置监控值和机器人的动作,理论上可以在任意的 DeFi 协议上使用。在 Cobo Arugs 的社区中,最近就有用户通过自定义机器人,从一个借贷协议中拯救了自己的资产。 这一切功能都是去中心化和无需信任的——机器人由 Cobo 进行运维,但是机器人只能执行被用户授权的 DeFi 操作权限,并不能越权执行其他操作。所有授权都会记录在一个不可升级的智能合约中,合约的代码和授权记录在链上完全透明,可以被任何人所审计。 补充介绍一下,Cobo Argus 的智能合约是基于 Safe{Wallet} 的 Plugin 功能。Safe{Wallet} 是以太坊生态下最大、TVL 最高、也是公认最安全的多签钱包,大部分 DeFi 协议都会用 Safe{Wallet} 去管理国库。而 Plugin 是 Safe{Wallet} 所推出的最新的能力,支持第三方开发者通过编写 Plugin 的方式,去扩展 Safe{Wallet} 的能力。 Cobo 与 Safe{Wallet} 团队一直有紧密的联系,也在 Plugin 能力推出的早期开发了 Cobo Argus,在 Safe{Wallet} 的基础上,针对 DeFi 场景推出了一系列解决方案: DeFi 授权 可以将特定的 DeFi 协议操作权限,授权给某个钱包单签执行。使用 Safe{Wallet} 和硬件钱包,虽然比较安全,但是使用过程很低效与繁琐,不适合经常进行 DeFi 操作,尤其在 DeFi 协议暴雷事件发生时,这种低效繁琐往往是致命的。 通过将特定权限授权给某个地址单签执行,可以提高效率,但是并不会降低安全性。因为这个地址只执行被授权的特定操作,并不能越权操作或者转走本金。 通过 Cobo Argus 的授权功能,可以避免被钓鱼发生误操作、热钱包私钥泄漏损失全部本金、团队内部作恶转走资金等情况。 DeFi 机器人 Cobo Argus 在 DeFi 授权功能的基础上,推出了机器人功能,支持用户把特定的 DeFi 协议权限授权给机器人,再由机器人进行自动化操作。例如自动 Claim 奖励、自动卖出与复投、自动撤回等。 目前,Cobo Argus 已经有很多 DeFi 资管团队与个人 DeFi Whales 在使用,不仅提高了 DeFi 效率,还加强了资产安全保护。近期,Solv 与 izumi 等项目也使用了 Cobo Argus 作为底层的分权与安全工具。未来 Cobo 也会持续创新,保护行业中的普通用户与 builder 们,推动行业的创新与进步。 最后,DeFi 从长远来看依然拥有无穷潜力,但是,在 DeFi 世界挖矿也永远无法避免潜在的风险,希望大家谨慎参与。「工欲善其事,必先利其器」,DeFi 矿工在提高警惕、积累经验的同时,也可以善用工具,对不同风险最大可能做好应对。 本文来自投稿,不代表BlockBeats观点 Cobo Curve 项目动态 前沿动态,一手掌握 |