Luke 是 Cobo Argus 产品负责人,同时也是 DeFi 爱好者。本文从参与 DeFi 挖矿的矿工角度出发,探讨如何合理利用 Cobo Argus 应对Curve 危机。
DeFi 世界这两天正由于 Curve 遭遇的最新一起攻击而危机重重。从7月30日被攻击开始,CRV 价格从0.74 USDT 暴跌至0.5 USDT 以下,今天略有反弹,目前稳定在0.6 USDT 上方。虽然目前已经查明这次攻击是由于旧版本的以太坊编程语言 Vyper 存在 Bug 所致,但是 Curve 面临的危机依然并未消除。
由于 Curve 创始人将持有大量 CRV 在链上抵押借贷,一旦价格进一步下跌,就有可能导致大量 CRV 被清仓,形成连环暴仓,让 CRV 价格归零也不是没有可能。Curve 作为 DeFi 领域体量最大协议之一,其面临的最新危机对 DeFi 的安全性和可信度也再次形成了重大打击,这对 DeFi 未来发展也可能产生诸多不利影响。
在此,笔者仅从参与 DeFi 挖矿的矿工角度出发,探讨一下在日常 DeFi 挖矿时如何合理利用 Cobo Argus 对类似潜在风险进行预防。
Binance Labs承诺对CRV投资500万美元并支持Curve部署至BNB Chain:8月10日消息,Binance Labs承诺对Curve DAO代币(CRV)投资500万美元,作为合作的一部分,Curve计划部署至BNB Chain。
截至撰写本文时,Curve锁定总价值(TVL)约为24亿美元,每日交易量为2.15亿美元。币安联合创始人兼Binance Labs负责人何一表示,Curve作为DeFi的关键协议,它为2023年该领域的稳定增长做出了贡献。[2023/8/10 16:18:30]
事件背景
首先,我们通过时间线简单回顾 Curve 危机的发生过程。
7 月 30 日,21:34, Curve 上的 pETH-ETH pool 遭受攻击,pETH 价格跌至 $383。22:50,Curve 上的 msETH-ETH pool 遭受攻击。23:34,Curve 上的 alETH-ETH 遭受攻击。
7 月 31日,0:44,以太坊编程语言 Vyper 发推表示,Vyper 0.2.15、0.2.16 和 0.3.0 版本版本的重入锁失效。
数字金融科技公司Mercurity Fintech完成900万美元融资:金色财经报道,由区块链技术驱动的数字金融科技公司Mercurity Fintech宣布通过发行无担保可转换本票完成了一笔900万美元融资,一位非美国投资方参投购买,但未公开具体信息。
Mercurity Fintech 将利用该笔募资支持 Web3 和区块链基础设施开发、扩展旗下咨询服务,并向纽约州金融服务部申请加密货币牌照BitLicense。(Globe Newswire)[2023/2/7 11:51:23]
0:45 ,Curve 推特发文表示,由于重入锁故障,使用了 Vyper 0.2.15 的稳定币池 (alETH/msETH/pETH) 遭到攻击,其他池是安全的。
3:08 CRV-ETH 被攻击,链上 CRV 最低跌到 0.08 左右。
16:41 Curve 推特发文,建议大家移除 Arb 上 Tricrypto 池的流动性,虽然没有被攻击,但是该池子可能也处于风险。
由于 Curve 被攻击,链上也出现了大量异常事件,CRV 价格暴跌,mich 的借贷仓位可能被清算的恐慌,导致了用户从 Aave 中提取流动性,USDC 和 USDT 的利率异常升高。DeFi 世界正在卷入一系列连带的风险中。
Curve宣布为dApp界面加入中文选项:金色财经报道,据官方消息,Curve Finance宣布为dApp界面语言加入原生中文选项。[2023/1/16 11:14:48]
原因分析
这次安全事故的特殊之处在于,是智能合约语言层面的 Bug,导致了一些知名项目的重入锁防御失效。不幸中的万幸,是 Vyper 而不是 Solidity 出现问题,不然可能整个 DeFi 世界都岌岌可危。
DeFi 因为低摩擦成本和可组合性,以及提高了高于传统世界的投资收入,吸引了大量用户参与 DeFi,但是钱包安全和智能合约安全一直都是悬在 DeFi 头顶的达摩斯之剑。
Euler、Curve 等久经考验的老牌协议暴雷,确实让很多 DeFi 的信仰者开始失去信心,一旦协议出现问题,往往就是整个本金全部亏损,除了智能合约风险外,还有钓鱼风险、私钥泄漏风险等,如何在参与 DeFi 时,可以实现兼具安全和效率,一直是困扰行业的难题。
Cobo 团队一直长期活跃在 DeFi 领域,也以注重安全而著称。在 Cobo 内部,已经针对各类 DeFi 安全问题,有一套内部的解决方案。Cobo 团队现在将这套内部解决方案产品化后对外,推出了 Cobo Argus,一个针对 DeFi 场景的解决方案,并且在新版本上线后很快达到了 1 亿美金的 TVL。
Curve总锁仓量突破240亿美元,创历史新高:1月4日消息,据DefiLlama数据显示,Curve总锁仓量达242.7亿美元,创历史新高。目前,DeFi协议中锁仓量位居前5名的协议包括:Curve(242.7亿美元)、ConvexFinance(210.1亿美元)、MakerDAO(179.4亿美元)、Aave(144亿美元)、Lido(123.3亿美元)。[2022/1/4 8:24:21]
应对策略
针对类似于 Curve 昨晚发生的事件,事前预防几乎无法做到。对于一般 DeFi 挖矿者,只能看是否能第一时间发现问题并采取应对措施,这种情况下如果能够合理利用好诸如 Cobo Argus 这样的工具就会起到极大帮助。Cobo Argus 提供的撤退机器人功能,可以监控链上风险指标,在出现异常时,帮助用户第一时间撤退。
以下就针对 Curve 的情况,具体分析一下在 Cobo Argus 上如何利用撤退机器人:
前用户对Vircurex交易所提起诉讼 指责交易所交易违约 不退还用户资金:四年前Vircurex交易所因为被黑客攻击失去了大量储备金。日前,一名前Vircurex客户在美国科罗拉多州地方法院对Vircurex提起的诉讼,指控其违约,转换资金,欺诈及不当得利。该诉讼中解释到,由于该交易所声称缺乏储备资金而导致的所有提款冻结后,只有少数账户持有人重获了他们的资金。而截至目前,被冻结的帐户共包含5000万美元。根据诉讼内容显示,该交易所在过去四年仍然允许客户存入资金,并且到今天仍然在运营。据交易所的报告,该交易所在2014年遭受黑客攻击后,损失了大量储备金,几乎破产,同时更多储备金因用户大量 提款而耗尽。因此,Vircurex冻结了比特币,莱特币,羽毛币和terracoin的提款,并开始用自己的利润向用户退款。然而交易所仅仅向少数提交索赔的客户退还了少量的加密货币,所欠的大部分资金仍留在交易所。据悉,交易所最后一次向客户转账的时间是2016年1月。另外,原告蒂莫西·肖(Timothy Shaw)声称,尽管有几位客户在过去四年中试图联系交易所,但交易所却拒绝与用户对话。。[2018/1/13]
在 Curve 以上池子出现问题时,有两个明显的信号:1、出现了挂钩资产的较大程度脱钩。2、因为黑客攻击和大户出逃,出现了 TVL 大降。
如果使用 Cobo Argus,我们可以设置这两项监控指标,监控 LP 池子中某个代币的占比,以及监控用户投入的本金,与 LP 池子中全部资金量的对比。这样我们就可以第一时间监控到异常,并且由机器人自动撤回本金。
在一般情况下,大部分用户都是通过推特上白帽的警告,才知道 DeFi 协议出现了风险,可能这时已经距离攻击发生过去了几个小时,已经没有了拯救本金的机会。
而通过机器人去监控链上的风险指标,在有风险信号时第一时间自动撤离,可以非常有效的帮用户拯救资产。
Cobo Argus 针对主流协议和流动性池,推出了相应的撤退机器人,可以有效帮用户监控风险与拯救本金。
黑客攻击、代币脱钩、借贷协议挤兑……各类链上风险事件,都可以通过一些特定的指标去监控。Cobo Argus 也允许用户设置自定义机器人,自定义监控指标与机器人被触发后合约调用。
对于有较好 DeFi 知识的专家级用户,可以自己设置监控值和机器人的动作,理论上可以在任意的 DeFi 协议上使用。在 Cobo Arugs 的社区中,最近就有用户通过自定义机器人,从一个借贷协议中拯救了自己的资产。
这一切功能都是去中心化和无需信任的——机器人由 Cobo 进行运维,但是机器人只能执行被用户授权的 DeFi 操作权限,并不能越权执行其他操作。所有授权都会记录在一个不可升级的智能合约中,合约的代码和授权记录在链上完全透明,可以被任何人所审计。
补充介绍一下,Cobo Argus 的智能合约是基于 Safe{Wallet} 的 Plugin 功能。Safe{Wallet} 是以太坊生态下最大、TVL 最高、也是公认最安全的多签钱包,大部分 DeFi 协议都会用 Safe{Wallet} 去管理国库。而 Plugin 是 Safe{Wallet} 所推出的最新的能力,支持第三方开发者通过编写 Plugin 的方式,去扩展 Safe{Wallet} 的能力。
Cobo 与 Safe{Wallet} 团队一直有紧密的联系,也在 Plugin 能力推出的早期开发了 Cobo Argus,在 Safe{Wallet} 的基础上,针对 DeFi 场景推出了一系列解决方案:
DeFi 授权:可以将特定的 DeFi 协议操作权限,授权给某个钱包单签执行。使用 Safe{Wallet} 和硬件钱包,虽然比较安全,但是使用过程很低效与繁琐,不适合经常进行 DeFi 操作,尤其在 DeFi 协议暴雷事件发生时,这种低效繁琐往往是致命的。
通过将特定权限授权给某个地址单签执行,可以提高效率,但是并不会降低安全性。因为这个地址只执行被授权的特定操作,并不能越权操作或者转走本金。
通过 Cobo Argus 的授权功能,可以避免被钓鱼发生误操作、热钱包私钥泄漏损失全部本金、团队内部作恶转走资金等情况。
DeFi 机器人:Cobo Argus 在 DeFi 授权功能的基础上,推出了机器人功能,支持用户把特定的 DeFi 协议权限授权给机器人,再由机器人进行自动化操作。例如自动 Claim 奖励、自动卖出与复投、自动撤回等。
目前, Cobo Argus已经有很多 DeFi 资管团队与个人 DeFi Whales 在使用,不仅提高了 DeFi 效率,还加强了资产安全保护。近期,Solv 与 iZUMi 等项目也使用了 Cobo Argus 作为底层的分权与安全工具。未来 Cobo 也会持续创新,保护行业中的普通用户与 builder 们,推动行业的创新与进步。
最后,DeFi 从长远来看依然拥有无穷潜力,但是,在 DeFi 世界挖矿也永远无法避免潜在的风险,希望大家谨慎参与。“工欲善其事,必先利其器”,DeFi 矿工在提高警惕、积累经验的同时,也可以善用工具,对不同风险最大可能做好应对。
Foresight News
金色财经 Jason.
白话区块链
金色早8点
LD Capital
-R3PO
MarsBit
深潮TechFlow
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。