DEF:Curve 危机面前是否无计可施?从 DeFi 挖矿角度看应对策略

Luke 是 Cobo Argus 产品负责人,同时也是 DeFi 爱好者。本文从参与 DeFi 挖矿的矿工角度出发,探讨如何合理利用 Cobo Argus 应对Curve 危机。

DeFi 世界这两天正由于 Curve 遭遇的最新一起攻击而危机重重。从7月30日被攻击开始,CRV 价格从0.74 USDT 暴跌至0.5 USDT 以下,今天略有反弹,目前稳定在0.6 USDT 上方。虽然目前已经查明这次攻击是由于旧版本的以太坊编程语言 Vyper 存在 Bug 所致,但是 Curve 面临的危机依然并未消除。

由于 Curve 创始人将持有大量 CRV 在链上抵押借贷,一旦价格进一步下跌,就有可能导致大量 CRV 被清仓,形成连环暴仓,让 CRV 价格归零也不是没有可能。Curve 作为 DeFi 领域体量最大协议之一,其面临的最新危机对 DeFi 的安全性和可信度也再次形成了重大打击,这对 DeFi 未来发展也可能产生诸多不利影响。

在此,笔者仅从参与 DeFi 挖矿的矿工角度出发,探讨一下在日常 DeFi 挖矿时如何合理利用 Cobo Argus 对类似潜在风险进行预防。

Cosmos Hub将于3月15日进行V9 Lambda升级,将激活Replicated Security功能:3月8日消息,Cosmos Hub发推称,v9 Lambda升级提案已经投票通过,支持率达99.48%。V9 Lambda升级将于3月15日进行。

根据该提案,本次升级旨在激活Replicated Security功能,这将强制执行链间安全性(ICS)的良好运行规则。Replicated Security功能可将Cosmos Hub的安全性复制到消费者链,并监控对规则的遵守情况,消费者链可以从Cosmos Hub的安全性中受益,而不必维护自己的验证者。[2023/3/8 12:49:01]

事件背景

首先,我们通过时间线简单回顾 Curve 危机的发生过程。

7 月 30 日,21:34, Curve 上的 pETH-ETH pool 遭受攻击,pETH 价格跌至 $383。22:50,Curve 上的 msETH-ETH pool 遭受攻击。23:34,Curve 上的 alETH-ETH 遭受攻击。

7 月 31日,0:44,以太坊编程语言 Vyper 发推表示,Vyper 0.2.15、0.2.16 和  0.3.0 版本版本的重入锁失效。

派盾:当前Curve上stETH与ETH兑换比例为1:0.958:9月7日消息,据派盾(PeckShield)检测显示,当前stETH与ETH兑换比例为1:0.958。当前池内拥有155,77.4枚ETH(占比22.71%),530,226.55枚stETH(占比77.29%)。[2022/9/7 13:13:20]

0:45 ,Curve 推特发文表示,由于重入锁故障,使用了 Vyper 0.2.15 的稳定币池 (alETH/msETH/pETH) 遭到攻击,其他池是安全的。

3:08 CRV-ETH 被攻击,链上 CRV 最低跌到 0.08 左右。

16:41 Curve 推特发文,建议大家移除 Arb 上 Tricrypto 池的流动性,虽然没有被攻击,但是该池子可能也处于风险。

由于 Curve 被攻击,链上也出现了大量异常事件,CRV 价格暴跌,mich 的借贷仓位可能被清算的恐慌,导致了用户从 Aave 中提取流动性,USDC 和 USDT 的利率异常升高。DeFi 世界正在卷入一系列连带的风险中。

Web3安全生态基础设施Go+ Security Engine上线代币安全监测功能:2月23日消息,Web3 全新安全生态基础设施 Go+ Securtiy Engine 已在官网发布针对 C 端用户的代币安全监测功能。用户输入代币合约地址,即可获取该代币在合约安全、交易安全、信息安全三方面的近 30 项安全检测。

据悉,Go+ Security Engine 是面向 Web3 的全新安全生态基础设施,其安全 API 已被多个 Wallet、Price Chart、Portal 使用。目前,该系统已覆盖 ETH、BSC、Polygon、Avalanche、Arbitrum、Heco 生态。[2022/2/23 10:10:44]

原因分析

这次安全事故的特殊之处在于,是智能合约语言层面的 Bug,导致了一些知名项目的重入锁防御失效。不幸中的万幸,是 Vyper 而不是 Solidity 出现问题,不然可能整个 DeFi 世界都岌岌可危。

DeFi 因为低摩擦成本和可组合性,以及提高了高于传统世界的投资收入,吸引了大量用户参与 DeFi,但是钱包安全和智能合约安全一直都是悬在 DeFi 头顶的达摩斯之剑。

Curve近24小时交易量上升166.94%:据欧科云链OKLink数据显示,截至今日18时,近24小时以太坊上去中心化交易所总交易量约合5.84亿美元。其中交易量排名前五的分别是Uniswap V2 2.6亿美元,环比下降0.68%;Curve 1.54亿美元,环比上升166.94%;0x协议 0.58亿美元,环比上升16.83%;Tokenlon 0.39亿美元,环比下降 4.16%以及Sushiswap 0.23亿美元,环比上升40.74%。[2020/10/15]

Euler、Curve 等久经考验的老牌协议暴雷,确实让很多 DeFi 的信仰者开始失去信心,一旦协议出现问题,往往就是整个本金全部亏损,除了智能合约风险外,还有钓鱼风险、私钥泄漏风险等,如何在参与 DeFi 时,可以实现兼具安全和效率,一直是困扰行业的难题。

Cobo 团队一直长期活跃在 DeFi 领域,也以注重安全而著称。在 Cobo 内部,已经针对各类 DeFi 安全问题,有一套内部的解决方案。Cobo 团队现在将这套内部解决方案产品化后对外,推出了 Cobo Argus,一个针对 DeFi 场景的解决方案,并且在新版本上线后很快达到了 1 亿美金的 TVL。

Ripple合作伙伴Mercury FX确认仍在使用XRP:金色财经报道,全球货币兑换服务商Mercury FX在推特表示,仍在使用基于XRP的按需流动性解决方案,此外还将为XRP社区带来“令人兴奋的消息”。[2020/5/29]

应对策略

针对类似于 Curve 昨晚发生的事件,事前预防几乎无法做到。对于一般 DeFi 挖矿者,只能看是否能第一时间发现问题并采取应对措施,这种情况下如果能够合理利用好诸如 Cobo Argus 这样的工具就会起到极大帮助。Cobo Argus 提供的撤退机器人功能,可以监控链上风险指标,在出现异常时,帮助用户第一时间撤退。

以下就针对 Curve 的情况,具体分析一下在 Cobo Argus 上如何利用撤退机器人:

在 Curve 以上池子出现问题时,有两个明显的信号:1、出现了挂钩资产的较大程度脱钩。2、因为黑客攻击和大户出逃,出现了 TVL 大降。

如果使用 Cobo Argus,我们可以设置这两项监控指标,监控 LP 池子中某个代币的占比,以及监控用户投入的本金,与 LP 池子中全部资金量的对比。这样我们就可以第一时间监控到异常,并且由机器人自动撤回本金。

在一般情况下,大部分用户都是通过推特上白帽的警告,才知道 DeFi 协议出现了风险,可能这时已经距离攻击发生过去了几个小时,已经没有了拯救本金的机会。

而通过机器人去监控链上的风险指标,在有风险信号时第一时间自动撤离,可以非常有效的帮用户拯救资产。

Cobo Argus 针对主流协议和流动性池,推出了相应的撤退机器人,可以有效帮用户监控风险与拯救本金。

黑客攻击、代币脱钩、借贷协议挤兑……各类链上风险事件,都可以通过一些特定的指标去监控。Cobo Argus 也允许用户设置自定义机器人,自定义监控指标与机器人被触发后合约调用。

对于有较好 DeFi 知识的专家级用户,可以自己设置监控值和机器人的动作,理论上可以在任意的 DeFi 协议上使用。在 Cobo Arugs 的社区中,最近就有用户通过自定义机器人,从一个借贷协议中拯救了自己的资产。

这一切功能都是去中心化和无需信任的——机器人由 Cobo 进行运维,但是机器人只能执行被用户授权的 DeFi 操作权限,并不能越权执行其他操作。所有授权都会记录在一个不可升级的智能合约中,合约的代码和授权记录在链上完全透明,可以被任何人所审计。

补充介绍一下,Cobo Argus 的智能合约是基于 Safe{Wallet} 的 Plugin 功能。Safe{Wallet} 是以太坊生态下最大、TVL 最高、也是公认最安全的多签钱包,大部分 DeFi 协议都会用 Safe{Wallet} 去管理国库。而 Plugin 是  Safe{Wallet} 所推出的最新的能力,支持第三方开发者通过编写 Plugin 的方式,去扩展 Safe{Wallet} 的能力。

Cobo 与 Safe{Wallet} 团队一直有紧密的联系,也在 Plugin 能力推出的早期开发了 Cobo Argus,在 Safe{Wallet} 的基础上,针对 DeFi 场景推出了一系列解决方案:

DeFi 授权:可以将特定的 DeFi 协议操作权限,授权给某个钱包单签执行。使用 Safe{Wallet} 和硬件钱包,虽然比较安全,但是使用过程很低效与繁琐,不适合经常进行 DeFi 操作,尤其在 DeFi 协议暴雷事件发生时,这种低效繁琐往往是致命的。

通过将特定权限授权给某个地址单签执行,可以提高效率,但是并不会降低安全性。因为这个地址只执行被授权的特定操作,并不能越权操作或者转走本金。

通过 Cobo Argus 的授权功能,可以避免被钓鱼发生误操作、热钱包私钥泄漏损失全部本金、团队内部作恶转走资金等情况。

DeFi 机器人:Cobo Argus 在 DeFi 授权功能的基础上,推出了机器人功能,支持用户把特定的 DeFi 协议权限授权给机器人,再由机器人进行自动化操作。例如自动 Claim 奖励、自动卖出与复投、自动撤回等。

目前, Cobo Argus已经有很多 DeFi 资管团队与个人 DeFi Whales 在使用,不仅提高了 DeFi 效率,还加强了资产安全保护。近期,Solv 与 iZUMi 等项目也使用了 Cobo Argus 作为底层的分权与安全工具。未来 Cobo 也会持续创新,保护行业中的普通用户与 builder 们,推动行业的创新与进步。

最后,DeFi 从长远来看依然拥有无穷潜力,但是,在 DeFi 世界挖矿也永远无法避免潜在的风险,希望大家谨慎参与。“工欲善其事,必先利其器”,DeFi 矿工在提高警惕、积累经验的同时,也可以善用工具,对不同风险最大可能做好应对。

Foresight News

金色财经 Jason.

白话区块链

金色早8点

LD Capital

-R3PO

MarsBit

深潮TechFlow

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

FILLOCK:加密极客研讨与Web3过冬指南分享

作者:YBB Capital Researcher Ac-Core此次研讨会我们非常荣幸邀约到众多重量级嘉宾——致力于解决当下行业刚需问题的资深技术专家和创始人,与我们进行了一次面对面的交流.

[0:31ms0-1:132ms