Curve事件的最新进展:危机是否已经解除?创始人是否需要出售代币并偿还债务?

Curve事件的最新进展:危机解除与否?创始人是否需出售代币偿债?

Curve 协议漏洞和 CRV 清算危机:现状和解决方案

作者:Gary Ma

Curve 协议近期由于以太坊编程语言 Vyper 的特定版本存在的 Bug,导致了四个资金池的资金被盗;除此之外,还由于 Curve 创始人将巨量 CRV 作为抵押品在多个借贷平台上进行借款,也使得 CRV 陷入了潜在的清算危机。本文将从 Bug 危机以及 CRV 危机这两个角度出发,帮助读者理清每个危机的现状以及未来潜在的解决方案。

Bug 危机:已解除,部分资金已追回

这次 Curve 的漏洞危机本质是由于以太坊编程语言 Vyper 的几个特定版本(0.2.15、0.2.16 和 0.3.0)存在一个 Bug,导致了重入锁保护失效。

对于此次漏洞,受影响的资金池以及对应被盗的金额分别是:

  • pETH/ETH | 6,106.65 WETH (~$11m)
  • msETH/ETH| 866.55 WETH (~$1.6m) 以及 959.71 msETH (~$1.8m)
  • alETH/ETH|7,258.70WETH (~13.6m)4, 821.55alETH 9m)
  • CRV/ETH | 7,193,401.77 CRV (~$5.1m 以被盗时价格计算),7,680.49 WETH (~$14.2m)以及 2,879.65 ETH (~$5.4m)
  • 另外,还有 Arbitrum 上的 Tricrypto(USDT+WBTC+ETH) 也受影响,资金安全不受影响,但官方建议用户取出资金。

前四个受影响的资金池目前的存款和质押功能已被禁用,并且已经在资金池界面下架。接下来,官方将停止这几个池子的 CRV 排放,并为 alETH、msETH 以及 pETH 开设新的资金池。新的资金池将与 WETH 进行配对或者采用其他新的 ETH 池进行实现。而对于 CRV,已经通过与 crvUSD+ ETH 进行配对组成新的 Tricrypto 池,不再受重入漏洞影响。

本次攻击主要影响了五个使用了特定 Vyper 版本并且与原生 ETH 配对的池子。Curve 上的其他池子基本安全不受影响,因此现在弃用这些受影响的池子并开设新池子后(与 WETH 配对或用安全的 Vyper 版本编译),这次 Curve 漏洞危机可以视为已解除。

至于被盗资金,此前 Mev Bot 部署者 c0ffeebabe.eth 已返还了 2,879.54 ETH。对于其他被盗资金,目前链上侦探 @zachxbt 似乎也发现了部分潜在嫌疑人,希望后续能够尝试追回部分资金,减轻被盗用户的损失。

CRV 清算危机:大概率解除,OTC 卖币还债

CRV 的清算危机主要来自 Curve 创始人 Michael Egorov 在 Frax Finance 和 Aave 等借贷平台上的抵押借贷。

虽然漏洞事件后,CRV 链上价格曾瞬间被暴跌至 $0.08 附近,不过由于链上预言机的喂价是参考多数据源多维度的加权机制,这种瞬间爆跌插针并不会触发这些借贷平台的清算机制。后续尽管市场上对 CRV 的唱空情绪浓烈,但 CRV 价格基本稳定保持在 $0.5 上方,而短期内 Michael Egorov 在 Frax Finance 和 Aave 上的仓位清算价格基本在 $0.35 附近,似乎依旧有 30% 的缓冲空间,危机并不紧迫。

这里主要是在 Fraxlend 中的债务仓位给予了压力。由于 Fraxlend 实行时间加权可变利率,实际上该头寸对 CRV 构成了更大的风险。在 Fraxlend 100% 的利用率下,利率将每 12 小时翻一番,预计在 3.5 天后将提高到最高的 10,000%。这个超高利率最终可能导致 Michael 头寸清算,而不管价格如何。最大 LTV 为 75%,其头寸清算价格会在 4.5 天内达到 $0.517。

不过目前来看,Curve 创始人 Michael Egorov 似乎已经找到了解决方法,即通过 “OTC 交易卖出 CRV 还债”。

根据 @EmberCN 监测,Curve 创始人 Michael Egorov 已累计售出总计 5450 万枚的 CRV,获得了 2180 万美元的资金。这些 CRV 的购买者包括 DWFLabs(1250 万枚 CRV)、孙宇晨(500 万枚 CRV)、黄立成(375 万枚 CRV)、Cream.Finance(250 万枚 CRV)等,均价 $0.4。

截止本文发稿前,Curve 创始人 Michael Egorov 在各借贷平台上的借贷仓位大致如下:

  • Aave v2 上供应了 257.44m 枚 CRV,借出了 49.25m USDT,清算价约为 $0.35。
  • Frax 上供应了 38.6m 枚 CRV,借出了 9.19m 枚 FRAX,清算价约为 $0.3。
  • Abracadabra 上供应了 46.65m 枚CRV,借出了 12m MIM。
  • Inverse 上供应了 29.1m 枚 CRV,借出了 7.7m DOLA。

另外,CRV 的清算压力不仅是借款人的,也是借贷平台的。所有借贷平台都明白这笔借贷就是一颗定时炸弹,如果处理不当,会造成平台坏账或者影响平台其他用户资产。

根据 @Loki_Zeng 的表述,我们可以得知各个借贷平台的解决方案如下:

  1. Fraxlend:借贷池风险隔离+动态利率,无需任何额外措施,Michael 需要主动还钱。
  2. Aave:维持去中心化治理,但行动不太敏捷。在治理论坛的讨论较充分及时,目前共识是将 Curve 的 LTV 降为 0,冻结新增借款。其他提案,比如降低 LT(清算门槛)、提高利率仍有大争议。
  3. Abracadabra:为实现效率,稍带专制。提出了将抵押品的利息应用于 CRV cauldrons 中的策略。所有利息都将直接收取在 cauldrons 的抵押品 CRV 上,并立即移入协议国库,以增加 DAO 的储备因子。然后,抵押品可以通过链上交易或线下合作伙伴转化为 MIM。
  4. Inverse:目前尚无动静。

回顾整个事件,Curve 作为一个流动性和交易平台,并没有明显过错。虽然是它的资金池被盗导致用户损失,但漏洞本质上是以太坊编程语言 Vyper 的问题。而 CRV 价格下跌的清算危机则是由 Michael Egorov 个人的行为导致,他抵押套现了约 1 亿美元的资金,为 CRV 和借贷平台埋下了定时炸弹。通过这次事件,也给借贷平台提了一个经验教训:如何更好地实现用户资金安全隔离以及合理高效的清算机制?

相关链接: – [https://hackmd.io/@LlamaRisk/BJzSKHNjn](https://hackmd.io/@LlamaRisk/BJzSKHNjn) – https://twitter.com/Loki_Zeng/status/1686624941171720192https://zapper.xyz/account/0x7a16ff8270133f063aab6c9977183d9e72835428?tab=apps