EFI:Curve 危机面前是否无计可施?从 DeFi 挖矿角度看应对策略

Luke 是 Cobo Argus 产品负责人,同时也是 DeFi 爱好者。本文从参与 DeFi 挖矿的矿工角度出发,探讨如何合理利用 Cobo Argus 应对Curve 危机。

DeFi 世界这两天正由于 Curve 遭遇的最新一起攻击而危机重重。从7月30日被攻击开始,CRV 价格从0.74 USDT 暴跌至0.5 USDT 以下,今天略有反弹,目前稳定在0.6 USDT 上方。虽然目前已经查明这次攻击是由于旧版本的以太坊编程语言 Vyper 存在 Bug 所致,但是 Curve 面临的危机依然并未消除。

由于 Curve 创始人将持有大量 CRV 在链上抵押借贷,一旦价格进一步下跌,就有可能导致大量 CRV 被清仓,形成连环暴仓,让 CRV 价格归零也不是没有可能。Curve 作为 DeFi 领域体量最大协议之一,其面临的最新危机对 DeFi 的安全性和可信度也再次形成了重大打击,这对 DeFi 未来发展也可能产生诸多不利影响。

在此,笔者仅从参与 DeFi 挖矿的矿工角度出发,探讨一下在日常 DeFi 挖矿时如何合理利用 Cobo Argus 对类似潜在风险进行预防。

Acura Capital拟以1000万美元收购CBDC服务提供商Patex公司10%股份:金色财经报道,巴西最大投资公司之一Acura Capital正在以1000万美元的价格收购央行数字货币技术服务提供商Patex公司旗下10%股份,据悉Patex 估值在这笔交易中已被推高至1亿美元。目前Patex公司专注于拉丁美洲市场,主要提供央行数字货币(CBDC)管理和交易技术解决方案,以及相关专业知识、咨询和招标服务,旗下还拥有一个名为“C-Patex”的加密货币交易所。(Cryptoslate)[2023/7/12 10:49:15]

事件背景

首先,我们通过时间线简单回顾 Curve 危机的发生过程。

7 月 30 日,21:34, Curve 上的 pETH-ETH pool 遭受攻击,pETH 价格跌至 $383。22:50,Curve 上的 msETH-ETH pool 遭受攻击。23:34,Curve 上的 alETH-ETH 遭受攻击。

7 月 31日,0:44,以太坊编程语言 Vyper 发推表示,Vyper 0.2.15、0.2.16 和  0.3.0 版本版本的重入锁失效。

Security Token Market启动Web3众筹融资,已获得500万美元投资承诺:金色财经报道,加密数据分析公司 Security Token Market 宣布发起首次 Web3 众筹融资,此次融资是根据美国证券交易委员会的监管众筹 (CF) 豁免进行的。Security Token Market 透露,在“融资试水期间”,1,226 名潜在个人投资者表示他们有兴趣投资,目前投资承诺总额已超过 500 万美元,是 Security Token Market 最初融资目标的五倍。Security Token Market 是全球领先的代币化资产数据和新闻来源,跟踪来自全球 11 个不同实时市场的 200 种代币化证券,为投资者提供用于交易数字资产证券研究工具。(雅虎财经)[2022/7/6 1:56:04]

0:45 ,Curve 推特发文表示,由于重入锁故障,使用了 Vyper 0.2.15 的稳定币池 (alETH/msETH/pETH) 遭到攻击,其他池是安全的。

3:08 CRV-ETH 被攻击,链上 CRV 最低跌到 0.08 左右。

安全团队:Waves稳定币USDN存在脱锚风险,Curve USDN-3池资产比例已倾斜:5月13日消息,安全团队CertiK Alert发布推文称,另一个接近UST市值的稳定币是Waves稳定币Neutrino USD(USDN),目前其MCAP为8.3亿美元。USDN自4月份以来一直处于波动状态。USDN周四的价格从0.74美元到0.92美元不等,已经脱锚。

USDN在4月4日一度跌至59美分,此前用户指控该平台通过其借贷平台Vires.finance.操纵了WAVES的价格。Waves首席执行官否认了这些指控。

用户必须将WAVES代币锁定到Neutrino的智能合约中,才能赚取USDN。赎回会破坏稳定币,以解锁WAVES,这平衡了供应,并使稳定币保持锚定。目前Curve USDN-3 Pool是不平衡的,93.8%是USDN。同样的比率也出现在UST的Curve池中。这通常是一个迹象,表明锚定正面临压力,需要新的存款来恢复平衡。请注意风险。[2022/5/13 3:13:33]

16:41 Curve 推特发文,建议大家移除 Arb 上 Tricrypto 池的流动性,虽然没有被攻击,但是该池子可能也处于风险。

DeFi经纪交易商Securrency Capital获得阿布扎比金融服务许可:4月12日消息,由道富银行支持的美国区块链金融技术开发商Securrency旗下DeFi经纪交易商Securrency Capital宣布,其已获得阿布扎比全球市场(ADGM)金融服务监管局(FSRA)的金融服务许可,可以作为匹配委托人处理数字资产投资,并为这些投资提供托管。该许可证使Securrency Capital能够向各种客户(包括散户)提供数字资产交易。(美通社)[2022/4/12 14:20:11]

由于 Curve 被攻击,链上也出现了大量异常事件,CRV 价格暴跌,mich 的借贷仓位可能被清算的恐慌,导致了用户从 Aave 中提取流动性,USDC 和 USDT 的利率异常升高。DeFi 世界正在卷入一系列连带的风险中。

原因分析

这次安全事故的特殊之处在于,是智能合约语言层面的 Bug,导致了一些知名项目的重入锁防御失效。不幸中的万幸,是 Vyper 而不是 Solidity 出现问题,不然可能整个 DeFi 世界都岌岌可危。

DeFi 因为低摩擦成本和可组合性,以及提高了高于传统世界的投资收入,吸引了大量用户参与 DeFi,但是钱包安全和智能合约安全一直都是悬在 DeFi 头顶的达摩斯之剑。

Securitize推出点对点证券型代币交易服务:金色财经报道,代币化证券发行和交易平台Securitize推出了一项新服务,使用户能够进行代币化证券的点对点交易。该公司表示,这项名为“即时访问”(Instant Access)的服务被定位为一种交换数字证券的方式,既符合监管机构的要求,又不会带来“交易对手风险”。[2020/4/24]

Euler、Curve 等久经考验的老牌协议暴雷,确实让很多 DeFi 的信仰者开始失去信心,一旦协议出现问题,往往就是整个本金全部亏损,除了智能合约风险外,还有钓鱼风险、私钥泄漏风险等,如何在参与 DeFi 时,可以实现兼具安全和效率,一直是困扰行业的难题。

Cobo 团队一直长期活跃在 DeFi 领域,也以注重安全而著称。在 Cobo 内部,已经针对各类 DeFi 安全问题,有一套内部的解决方案。Cobo 团队现在将这套内部解决方案产品化后对外,推出了 Cobo Argus,一个针对 DeFi 场景的解决方案,并且在新版本上线后很快达到了 1 亿美金的 TVL。

应对策略

针对类似于 Curve 昨晚发生的事件,事前预防几乎无法做到。对于一般 DeFi 挖矿者,只能看是否能第一时间发现问题并采取应对措施,这种情况下如果能够合理利用好诸如 Cobo Argus 这样的工具就会起到极大帮助。Cobo Argus 提供的撤退机器人功能,可以监控链上风险指标,在出现异常时,帮助用户第一时间撤退。

以下就针对 Curve 的情况,具体分析一下在 Cobo Argus 上如何利用撤退机器人:

在 Curve 以上池子出现问题时,有两个明显的信号:1、出现了挂钩资产的较大程度脱钩。2、因为黑客攻击和大户出逃,出现了 TVL 大降。

如果使用 Cobo Argus,我们可以设置这两项监控指标,监控 LP 池子中某个代币的占比,以及监控用户投入的本金,与 LP 池子中全部资金量的对比。这样我们就可以第一时间监控到异常,并且由机器人自动撤回本金。

在一般情况下,大部分用户都是通过推特上白帽的警告,才知道 DeFi 协议出现了风险,可能这时已经距离攻击发生过去了几个小时,已经没有了拯救本金的机会。

而通过机器人去监控链上的风险指标,在有风险信号时第一时间自动撤离,可以非常有效的帮用户拯救资产。

Cobo Argus 针对主流协议和流动性池,推出了相应的撤退机器人,可以有效帮用户监控风险与拯救本金。

黑客攻击、代币脱钩、借贷协议挤兑……各类链上风险事件,都可以通过一些特定的指标去监控。Cobo Argus 也允许用户设置自定义机器人,自定义监控指标与机器人被触发后合约调用。

对于有较好 DeFi 知识的专家级用户,可以自己设置监控值和机器人的动作,理论上可以在任意的 DeFi 协议上使用。在 Cobo Arugs 的社区中,最近就有用户通过自定义机器人,从一个借贷协议中拯救了自己的资产。

这一切功能都是去中心化和无需信任的——机器人由 Cobo 进行运维,但是机器人只能执行被用户授权的 DeFi 操作权限,并不能越权执行其他操作。所有授权都会记录在一个不可升级的智能合约中,合约的代码和授权记录在链上完全透明,可以被任何人所审计。

补充介绍一下,Cobo Argus 的智能合约是基于 Safe{Wallet} 的 Plugin 功能。Safe{Wallet} 是以太坊生态下最大、TVL 最高、也是公认最安全的多签钱包,大部分 DeFi 协议都会用 Safe{Wallet} 去管理国库。而 Plugin 是  Safe{Wallet} 所推出的最新的能力,支持第三方开发者通过编写 Plugin 的方式,去扩展 Safe{Wallet} 的能力。

Cobo 与 Safe{Wallet} 团队一直有紧密的联系,也在 Plugin 能力推出的早期开发了 Cobo Argus,在 Safe{Wallet} 的基础上,针对 DeFi 场景推出了一系列解决方案:

DeFi 授权:可以将特定的 DeFi 协议操作权限,授权给某个钱包单签执行。使用 Safe{Wallet} 和硬件钱包,虽然比较安全,但是使用过程很低效与繁琐,不适合经常进行 DeFi 操作,尤其在 DeFi 协议暴雷事件发生时,这种低效繁琐往往是致命的。

通过将特定权限授权给某个地址单签执行,可以提高效率,但是并不会降低安全性。因为这个地址只执行被授权的特定操作,并不能越权操作或者转走本金。

通过 Cobo Argus 的授权功能,可以避免被钓鱼发生误操作、热钱包私钥泄漏损失全部本金、团队内部作恶转走资金等情况。

DeFi 机器人:Cobo Argus 在 DeFi 授权功能的基础上,推出了机器人功能,支持用户把特定的 DeFi 协议权限授权给机器人,再由机器人进行自动化操作。例如自动 Claim 奖励、自动卖出与复投、自动撤回等。

目前, Cobo Argus已经有很多 DeFi 资管团队与个人 DeFi Whales 在使用,不仅提高了 DeFi 效率,还加强了资产安全保护。近期,Solv 与 iZUMi 等项目也使用了 Cobo Argus 作为底层的分权与安全工具。未来 Cobo 也会持续创新,保护行业中的普通用户与 builder 们,推动行业的创新与进步。

最后,DeFi 从长远来看依然拥有无穷潜力,但是,在 DeFi 世界挖矿也永远无法避免潜在的风险,希望大家谨慎参与。“工欲善其事,必先利其器”,DeFi 矿工在提高警惕、积累经验的同时,也可以善用工具,对不同风险最大可能做好应对。

Foresight News

金色财经 Jason.

白话区块链

金色早8点

LD Capital

-R3PO

MarsBit

深潮TechFlow

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

[0:15ms0-2:138ms