Curve攻击后,DeFi的下一步是什么?

Curve攻击后,DeFi下一步是什么?

去中心化金融(DeFi)的安全风险:攻击事件剖析

在最近的一个周末,去中心化金融(DeFi)领域遭遇了一系列攻击事件,导致该领域陷入困境。据MetaMask开发者Taylor Monahan的估计,本周末总计约7000万美元被盗,其中包括了Curve Finance这一最有影响力的去中心化交易所,以及其他借贷协议(如Alchemix)、收益平台(如Pendle)、合成资产工具(如Metronome)和去中心化NFT协议(如JPEG)。

此次攻击事件引发了DeFi借贷费用的飙升,因此DeFi贷方开始从包括Aave在内的其他DeFi平台撤资作为回应。然而,这种迅速的撤资行为进一步加剧了整个子赛道的借贷费用上涨。虽然目前情况可能还会恶化,但也有白帽黑客通过删除Curve上的贷款池中的资产来防止资产被盗。此外,从五起恶意攻击事件中可以看出,其中三起明显是由MEV(最大可提取价值)专家通过“抢先交易”造成的。MEV是公共区块链工作方式中的一个有争议特点,它允许第三方和自动化机器搜索并重新排序内存池中等待的未最终交易以获取利润。

在这次攻击事件中,Coffeebabe.eth通过抢先交易成功逆转了至少两次恶意攻击,而这些攻击很可能是由多个互不相关的黑客实施的。数据提供商Chainlink(也被称为“预言机”系统)因为防止这次攻击事件对整个行业造成更大的损害而受到了一些赞誉,尽管方式似乎略显迂回。如果像Aave这样的平台或其他DeFi借贷协议使用CRV/ETH Curve池作为链上预言机(现已耗尽),他们将完全陷入坏账的困境。

这次攻击的本质显然源于一种名为Vyper的编程语言中发现的漏洞,该语言专门用于在以太坊上启动智能合约。Vyper的核心团队得到了Curve团队的支持,并宣布旧版本的Vyper容易受到“重入”攻击。尽管Vyper代表表示使用0.2.15、0.2.16和0.3.0版本的项目应该联系,但可能需要几天、几周或几个月的时间才能真正了解问题所在。

与其他领域的黑客攻击不同,加密世界中的黑客攻击具有一些独特之处。越来越多的攻击者会将被盗资金返还,因为这些资金本质上是可以在区块链上追踪的,这使得攻击者很难在全世界都不知道的情况下洗钱或在任何地方兑现。然而,尽管如此,加密货币领域的攻击事件仍然频发。根据安全审计公司CertiK的数据,仅在2023年7月,加密货币用户就因漏洞利用而损失了至少3.03亿美元。

虽然对于此次攻击事件的技术细节仍在研究中,而且总体影响尚不清楚,但至少有一个明确的结论:Uniswap背后团队推出的新产品UniswapX成为了最受欢迎的去中心化交易所,该产品本质上使用链下机制来执行交易,从而节省了Uniswap用户的交易费用。在UniswapX宣布推出后的几天里,人们一直在热议未来去中心化交易所(DEX)的发展方向。很明显,世界正在朝着这个方向发展:Cowswap、0x以及现在包括UniswapX在内的一系列协议都在使用“最佳执行”模型,这些模型将加密货币交易的某些方面引入了链下处理。

加密货币交易虽然迷人但充满风险。在任何市场上,竞争对手必须通过创新来吸引用户,而且交易成本总是趋近于零。加密货币交易者们常常愿意用完全链上加密货币的某些保证来换取更好的价格、更快的交易速度或者仅仅是一种协助。这就是专有交易算法背后所发生的情况,声称提供有利于交易者的交易。

然而,考虑到最近DeFi遇到的困境,考虑到即使在链上执行的交易也可能出现重大错误,我们不禁要问:如果去掉区块链所带来的唯一好处——不变性和透明度,那是否会造成巨大的风险?关于区块链的未来,我不敢妄下论断。但越来越多的人告诉我,它的未来将不再是我们熟悉的自动化做市商(AMM)世界,而更偏向于程序化和自动化。尽管这可能成为现实,但我们首先要解决当前加密项目面临的问题。