LianGuai观察 | Curve Finance逃出生天后剩下多少信任值？

'LianGuai观察 | Curve Finance逃生后的信任值还剩多少？'

Curve Finance：信任流失与挑战

作者：Climber，LianGuai

7月30日，智能合约编程语言 Vyper 的部分版本被发现存在严重漏洞，导致包括 Curve Finance 在内的一些重要项目遭受攻击。据PeckShield统计，此次攻击致使多方累计损失已多达5200万美元。

Curve Finance（以下简称Curve）作为一家DeFi蓝筹项目，在这次攻击中所受的损失十分惊人。其中，Curve Finance TVL（Total Value Locked）从32.66亿美元降至17.89亿美元，降幅约为45%，以近乎腰斩的方式受到了重创。更重要的是，攻击事件发生后，CRV（Curve的原生代币）的链上价格几乎降至零。只有由于 Chainlink 未能及时跟进报出最低价，使得基于多个借贷协议的CRV抵押债仓才得以避免直接面临清算风险。

面对这场惊险一幕，韩国排名前五的交易平台纷纷向投资者发出谨慎提醒，暂停了CRV的充值和提现服务。然而，鉴于市场价格反应，一些网友认为受损的流动性池仅有三至四个，因此影响并不大。此外，吴忌寒公开表态已经”抄底”CRV，继续看好Curve Finance。

然而，Curve Finance此前也曾多次遭遇清算危机。这次攻击事件的发生再次挑战了投资者对这一项目的信任，使人质疑Curve Finance的长期前景。

• Lybra：LSDFi新贵崛起之路与所遇险阻
• StarkWare推出共享证明器SHARP，旨在进一步降低GAS费用。
• Pond0x到底是骗局还是社会实验？LianGuaiuly这个无聊猿的头号黑粉是如何...

减分项

1. 三次清算危机

受此次攻击事件影响，CRV在多个DEX（去中心化交易所）上的交易价格均出现剧烈波动，其中Uniswap上CRV/WETH交易对的瞬时价格最低一度跌至0.08美元左右。

此外，Curve创始人Michael Egorov在Aave、FRAXlend、Abracadabr、Inverse等协议上共抵押了2.92亿枚CRV（约合1.81亿美元），并借出了1.1亿美元资金。如果Chainlink在报出0.08美元价位后，这些抵押头寸将被清算。更为严重的是，届时将可能引发FUD（恐惧、不确定、怀疑）情绪的蔓延，DeFi世界将面临灾难性的影响。

类似的清算危机最近一次发生在上个月，dForce创始人Mindao发文称，Curve创始人在Aave存了超过33%CRV流通盘的代币，但却借出7100万稳定币，这存在极大风险。随后几天，Curve的3pool中的USDT出现轻微脱锚的情况，USDT占比超过74%。

为了降低清算风险，Curve Finance创始人不得不多次偿还代币。其中最多的一笔为其关联钱包将3800万个Curve DAO代币（相当于2400万美元）存入去中心化借贷平台Aave。

去年11月份，CRV还曾遭到巨鲸做空，币价最低到达0.4美元附近。在Curve创始人向AAVE补充2000万枚CRV及其项目推出的稳定币CrvUSD白皮书发布后，CRV才免于被大量清算的局面。

2. 流动性池倾斜频发

类似的流动性池倾斜现象在Curve上发生多次。例如：

• 2023年6月15日，由于Curve的3pool中有2.05亿枚USDT被售出，导致USDT占比达74.35%（301,753,409枚），并出现轻微脱锚。
• 2022年11月10日，Curve的3pool中USDT占比已达到80.43%（742,416,062枚），而DAI和USDC的占比分别为9.78%和9.77%。
• 2022年11月13日，Curve的USDD/3CRV池发生严重倾斜，USDD占比达到81.76%（32,679,832枚），DAI占比为2.99%（1,196,988枚），USDC占比为3.00%（1,200,247枚），USDT占比为12.23%（4,891,589枚）。USDD和USDC的兑换比例为1：0.981282。
• 2022年8月26日，Curve上rETH与ETH的兑换比例跌至1：0.7917，流动性池比例严重倾斜，rETH占比达到81.54%。

类似上述现象在Curve上还有多例。

3. 生态项目依赖 Vyper 语言，审计缺位

Curve Finance上有多个流动性池采用 Vyper 语言编写的智能合约。根据安全公司 Ancilia 对受影响合约的分析，有136份合约使用了带有重入保护的 Vyper 0.2.15，98份合约使用了 Vyper 0.2.15 版本，使用 Vyper 0.2.16 和 Vyper 0.3.0 的合约共有226份。这次攻击事件的发生揭示了Vyper的安全漏洞。

由于Vyper的代码库较小，易于阅读，并且历史更改较少，所以当编译器频繁进行重大更改时，审计工作就难以跟进。

此前，Curve生态流动性平台Conic Finance就因智能合约超出审计范围而两次遭受黑客攻击，造成400万美元的损失。

4. 做空流言，诉讼缠身

2022年6月9日，LianGuairaFi、Framework Ventures 和 1kx 三家加密风险投资机构共同起诉Curve创始人Michael Egorov欺诈和盗用商业机密，导致风投机构承受经济损失。

此后，dForce创始人Mindao提示Curve创始人抵押大量CRV借出稳定币存在极大风险，并表示Curve创始人抵押自家币做杠杠的操作看起来是惜售，实际上是一种引诱式做空。

类似Curve做空事件和流言在网络社区中频繁出现。

加分项

Curve Finance由Michael Egorov创立，于2020年1月推出，旨在提供一个采用自动做市商（AMM）架构构建的去中心化交易所（DEX）。该交易所主要聚焦于稳定币（如USDT、USDC、DAI）和合成资产/衍生品/锚定资产（如wBTC、renBTC、stETH）。除了以太坊为主要业务阵地外，Curve Finance还进行了多链部署。

尽管此次攻击事件对Curve Finance造成了严重的打击，但该项目仍然在DEX中名列第二。评估一个项目的优劣只需要与该赛道的龙头进行对比即可。与DEXs龙头Uniswap相比，Curve Finance具有以下优势：

1. 效率和滑点 Curve更专注于稳定币交换，因此使用成本更低。由于Curve的机制和项目方合作，使得Curve上可以直接相互交易的稳定币交易对更多种类。 同时，通过限制池和每个池中的资产类型，Curve最大限度地减少了因波动资产价格变动产生的无常损失。

2. 合成资产 得益于与各个项目方的良好合作关系，Curve在sETH和renBTC上拥有良好的收益。 同样，由于拥有充足的流动性和LP（流动性提供者）激励，Curve得到了以太坊2.0质押协议Lido的支持，成为了半官方的stETH流动性池。

3. 协议收入 Curve中所有Token交换费用统一为0.04%，存取款手续费在0% – 0.02%之间。但Curve协议收入的50%将分配给CRV Token质押者。 这种协议收入的分配模式无疑将为Curve带来更多的用户和LP。

4. 生态数量 相比于Uniswap上稀少的配套型项目，Curve Finance拥有众多生态项目，包括核心生态项目、生态项目、合作项目和用户项目。 这些项目可以为Curve提供直接的协议收入，即流动性采购费用；为Curve的核心业务——流动性市场，在流动性募集或流动性采购上提供体验优化或协助；吸收并增加CRV（或CVX）的锁定，避免CRV流向二级市场。

结语

正如Vyper贡献者@fubuloubu所言，要找出此次攻击事件中的漏洞需要几周到几个月的时间，因此需要赏金计划来帮助改进Vyper。然而，过于陈旧的Vyper版本仍然需要升级或迁移以提供更高的安全保障。

就此次攻击事件来说，尽管对Curve Finance造成了严重的打击，但并未对其造成致命性的影响，更不用说DeFi的末日来临。同样，加密市场依然是一片黑暗森林，无论看好还是看跌Curve Finance，我们都应保持谨慎和理智的态度。

• Curve