Curve危机面前是否无计可施?从DeFi挖矿角度看应对策略

Curve危机中无计可施?DeFi挖矿角度的应对策略。

Cobo Argus:保护DeFi,提升效率,实现资产安全

作者:Luke(DeFi 爱好者、Cobo Argus 产品负责人) 来源:BlockBeats

在当前DeFi世界遭遇的最新一起攻击事件中,Curve协议面临着危机。从7月30日攻击开始,CRV价格暴跌至0.5 USDT以下,尽管攻击原因已被查明是由于旧版本以太坊编程语言Vyper存在Bug,但Curve面临的危机并未消除。

由于Curve创始人将大量CRV抵押在链上,一旦价格进一步下跌,就会导致大量CRV被清仓,形成连环暴仓,甚至可能导致CRV价格归零。作为DeFi领域体量最大的协议之一,Curve面临的危机对于DeFi的安全性、可信度以及未来发展都可能产生不利影响。

本文主要从矿工角度出发,探讨日常DeFi挖矿时如何预防类似的潜在风险,并介绍可行的解决方案和工具。

事件背景

首先,让我们来简要回顾一下Curve危机的发生过程:

  • 7月30日,Curve上的pETH-ETH池遭到攻击,pETH价格跌至383美元。
  • 7月31日,Curve上的msETH-ETH池也遭到攻击。
  • 同日,Curve上的alETH-ETH池也遭到攻击。

而后,以太坊编程语言Vyper发布了关于版本0.2.15、0.2.16和0.3.0的重入锁失效的通告。随后,Curve发推称由于重入锁故障,使用了Vyper 0.2.15的稳定币池(alETH/msETH/pETH)遭到攻击,其他池子是安全的。

该事件导致了Curve池子折价、TVL大幅下降等异常情况,CRV价格暴跌,用户纷纷撤离Aave,导致USDC和USDT的利率异常上升。目前,DeFi世界正在面临一系列连带风险。

原因分析

这次安全事故的特殊之处在于,Bug来自智能合约语言层面,导致一些知名项目的重入锁防御失效。幸好,受影响的是Vyper而不是Solidity,否则可能整个DeFi世界都将陷入危机。

DeFi因其低摩擦成本和可组合性吸引了大量用户参与,但钱包安全和智能合约安全一直是悬在DeFi头上的达摩斯之剑。

Euler、Curve等老牌协议的暴雷让许多DeFi信徒开始失去信心,一旦协议出现问题,往往是本金全部亏损,智能合约风险之外还有钓鱼风险、私钥泄漏风险等。如何在参与DeFi时既能确保安全,又能提高效率,一直是令该行业困扰的难题。

Cobo团队在DeFi领域一直很活跃,也以关注安全而著称。他们在Cobo内部为各类DeFi安全问题,已经有一套内部的解决方案。现在,他们将这套方案推向外界,推出了Cobo Argus – 一个针对DeFi场景的解决方案。该工具上线后不久,就获得了1亿美元的TVL。

应对策略

对于类似Curve今晚发生的事件,人们几乎无法做到事前预防。一般的DeFi矿工只能在第一时间发现问题并采取应对措施。在这种情况下,合理利用工具如Cobo Argus将起到极大的帮助。Cobo Argus提供的撤退机器人功能能够监控链上的风险指标,一旦出现异常,可帮助用户第一时间撤离。

针对Curve的情况,具体使用Cobo Argus的撤退机器人策略如下:

  1. 观察有挂钩资产的比例剧烈脱钩。
  2. 监控因黑客攻击或大户出逃导致的TVL骤降。

使用Cobo Argus,我们可以设置这两个监控指标,对LP池中某个代币的占比以及用户投入本金与LP池中全部资金量进行对比监控。这样,我们便能在第一时间发现异常,并自动撤回本金。

一般情况下,大部分用户只能通过推特上白帽的警告才得知DeFi协议存在风险,这个时候可能已经过去几个小时,错过了拯救本金的机会。而通过机器人监控链上风险指标,在有风险信号时能够自动撤离,可以非常有效地拯救资产。

Cobo Argus为主流协议和流动性池推出了相应的撤退机器人,可以有效地监控风险和拯救本金。此外,Cobo Argus还允许用户自定义机器人,设定自定义的监控指标和机器人动作,以适应各种链上风险事件。近期,就有用户通过自定义机器人,成功拯救了自己在某个借贷协议中的资产。

需要强调的是,这些机器人是去中心化且无需信任的。Cobo负责运维机器人,但机器人只会执行用户授权的DeFi操作权限,而不能越权操作。所有授权都会被记录在一个不可升级的智能合约中,而合约的代码和授权记录完全透明且可供任何人审计。

此外,值得一提的是,Cobo Argus的智能合约是基于以太坊生态中最安全、TVL最高的多签钱包Safe{Wallet}的Plugin功能开发的。Safe{Wallet}是DeFi中常用于管理国库的安全性最高的多签钱包。而Plugin是Safe{Wallet}的最新功能,支持第三方开发者通过编写Plugin扩展Safe{Wallet}的能力。

Cobo和Safe{Wallet}团队一直保持着紧密联系,并在Plugin功能推出早期就开发了Cobo Argus,该工具为DeFi场景推出了一系列解决方案:

DeFi授权 – 可将特定DeFi协议操作权限授权给某个钱包单签执行。虽然Safe{Wallet}与硬件钱包的结合相对较安全,但在使用过程中效率较低,并不适合频繁进行DeFi操作,尤其是在DeFi协议发生暴雷事件时,低效的操作往往是致命的。 – 而通过将特定权限授权给某个地址进行单签操作,既可以提高效率,又不会降低安全性。因为该地址只能执行被授权的特定操作,无法越权操作或将资金转走。 – 使用Cobo Argus的授权功能,可以避免钓鱼风险导致误操作、热钱包私钥泄漏导致本金损失、团队内部欺诈转走资金等情况。

DeFi机器人 – 在DeFi授权功能的基础上,Cobo Argus推出了机器人功能,支持用户将特定DeFi协议权限授权给机器人,由机器人进行自动化操作,如自动领取奖励、自动卖出并复投、自动撤回等。 – 目前,Cobo Argus已吸引了许多DeFi资管团队以及个人DeFi巨鳄的使用,不仅提高了DeFi效率,还加强了资产安全保护。Solv和izumi等项目也将Cobo Argus用作底层的去中心化与安全工具。未来,Cobo将继续创新,保护普通用户和DeFi构建者,推动该行业的创新与进步。

最后,长期来看,DeFi仍具有巨大潜力,但在挖矿过程中无法避免潜在风险。因此,我们建议DeFi矿工除了提高警惕和积累经验外,还可以善用各类工具,针对不同风险采取最佳应对策略。使用Cobo Argus等工具,可以在DeFi挖矿过程中保障安全并提高效率。