Luke 是 Cobo Argus 产品负责人,同时也是 DeFi 爱好者。本文从参与 DeFi 挖矿的矿工角度出发,探讨如何合理利用 Cobo Argus 应对Curve 危机。
DeFi 世界这两天正由于 Curve 遭遇的最新一起攻击而危机重重。从7月30日被攻击开始,CRV 价格从0.74 USDT 暴跌至0.5 USDT 以下,今天略有反弹,目前稳定在0.6 USDT 上方。虽然目前已经查明这次攻击是由于旧版本的以太坊编程语言 Vyper 存在 Bug 所致,但是 Curve 面临的危机依然并未消除。
由于 Curve 创始人将持有大量 CRV 在链上抵押借贷,一旦价格进一步下跌,就有可能导致大量 CRV 被清仓,形成连环暴仓,让 CRV 价格归零也不是没有可能。Curve 作为 DeFi 领域体量最大协议之一,其面临的最新危机对 DeFi 的安全性和可信度也再次形成了重大打击,这对 DeFi 未来发展也可能产生诸多不利影响。
在此,笔者仅从参与 DeFi 挖矿的矿工角度出发,探讨一下在日常 DeFi 挖矿时如何合理利用 Cobo Argus 对类似潜在风险进行预防。
Curve:发起禁用crvUSD价格预言机Chainlink限制提案与中心化问题无关:金色财经报道,链上流动性提供商Curve已提出禁用crvUSD价格预言机Chainlink限制提案,社区认为此举可能因为预言机Chainlink服务过去中心化,对此Curve特别成为发起该提案与中心化问题无关,更多的是因为关于算法价格应该不高的事实,此外Curve还指出预言机价格有时看似安全但实际上并没有提高安全性,同时Curve还称该提案不是暂时性的,禁用crvUSD价格预言机Chainlink主要因为会造成用户损失。[2023/8/20 18:11:18]
事件背景
首先,我们通过时间线简单回顾 Curve 危机的发生过程。
7 月 30 日,21:34, Curve 上的 pETH-ETH pool 遭受攻击,pETH 价格跌至 $383。22:50,Curve 上的 msETH-ETH pool 遭受攻击。23:34,Curve 上的 alETH-ETH 遭受攻击。
7 月 31日,0:44,以太坊编程语言 Vyper 发推表示,Vyper 0.2.15、0.2.16 和 0.3.0 版本版本的重入锁失效。
Curve创始人添加2000万枚CRV抵押资产以避免清算:金色财经报道,Lookonchain发推解释CRV价格近期波动原因,11月13日ponzishorter.eth地址将约4000万USDC存入Aave,并借入CRV去抛售,CRV的价格从过去一周下降至0.464美元,跌幅约26%。5个小时前,ponzishorter.eth从Aave中介入2000万枚CRV然后转至OKX,3个小时前再次从Aave中借入1000万枚CRV。该地址抛售了抛售大量CRV,因此许多使用CRV作为抵押品的用户将面临清算。Curve创始人此前用CRV作为抵押品借入USDC,也面临清算,3小时前,其增加了2000万枚CRV抵押资产。[2022/11/22 7:57:26]
0:45 ,Curve 推特发文表示,由于重入锁故障,使用了 Vyper 0.2.15 的稳定币池 (alETH/msETH/pETH) 遭到攻击,其他池是安全的。
3:08 CRV-ETH 被攻击,链上 CRV 最低跌到 0.08 左右。
16:41 Curve 推特发文,建议大家移除 Arb 上 Tricrypto 池的流动性,虽然没有被攻击,但是该池子可能也处于风险。
Curve生态固定利率借贷协议LendFlare Finance完成V2版本更新:4月20日消息,Curve生态固定利率借贷协议LendFlare Finance完成V2版本更新,代码已提交派盾(PeckShield)审计,主要更新包括抵押品自动复利、自动循环借贷、添加更多稳定币和封装代币等内容。[2022/4/20 14:36:18]
由于 Curve 被攻击,链上也出现了大量异常事件,CRV 价格暴跌,mich 的借贷仓位可能被清算的恐慌,导致了用户从 Aave 中提取流动性,USDC 和 USDT 的利率异常升高。DeFi 世界正在卷入一系列连带的风险中。
原因分析
这次安全事故的特殊之处在于,是智能合约语言层面的 Bug,导致了一些知名项目的重入锁防御失效。不幸中的万幸,是 Vyper 而不是 Solidity 出现问题,不然可能整个 DeFi 世界都岌岌可危。
DeFi 因为低摩擦成本和可组合性,以及提高了高于传统世界的投资收入,吸引了大量用户参与 DeFi,但是钱包安全和智能合约安全一直都是悬在 DeFi 头顶的达摩斯之剑。
Mercurial?Finance创建Wormhole V2封装代币wUSD-4Pool:9月25日消息,Solana链上稳定资产协议Mercurial?Finance与Solana生态跨链协议Wormhole合作,为Wormhole V2封装代币创建Solana首个4pool,wUSD-4Pool允许所有主要ETH稳定资产和USDC之间使用单一池进行兑换。一旦资产被桥接,用户可以将其存入Mercurial以获得奖励,或者使用封装资产与Solana上的任何代币进行兑换。奖励将持续4周。[2021/9/25 17:05:30]
Euler、Curve 等久经考验的老牌协议暴雷,确实让很多 DeFi 的信仰者开始失去信心,一旦协议出现问题,往往就是整个本金全部亏损,除了智能合约风险外,还有钓鱼风险、私钥泄漏风险等,如何在参与 DeFi 时,可以实现兼具安全和效率,一直是困扰行业的难题。
Cobo 团队一直长期活跃在 DeFi 领域,也以注重安全而著称。在 Cobo 内部,已经针对各类 DeFi 安全问题,有一套内部的解决方案。Cobo 团队现在将这套内部解决方案产品化后对外,推出了 Cobo Argus,一个针对 DeFi 场景的解决方案,并且在新版本上线后很快达到了 1 亿美金的 TVL。
Curve和Yearn发现新资金池存在风险后已关闭,资金将退回给用户:稳定币兑换平台Curve Finance发推称,我们在新的Yearn.finance yv2 资金池中发现了问题,所有资金是安全的,所有存款将直接发送到流动性提供者的钱包,用户不需要任何操作。Curve还表示该安全问题是由Curve和Yearn团队共同合作发现和处理的。[2021/2/8 19:13:36]
应对策略
针对类似于 Curve 昨晚发生的事件,事前预防几乎无法做到。对于一般 DeFi 挖矿者,只能看是否能第一时间发现问题并采取应对措施,这种情况下如果能够合理利用好诸如 Cobo Argus 这样的工具就会起到极大帮助。Cobo Argus 提供的撤退机器人功能,可以监控链上风险指标,在出现异常时,帮助用户第一时间撤退。
以下就针对 Curve 的情况,具体分析一下在 Cobo Argus 上如何利用撤退机器人:
在 Curve 以上池子出现问题时,有两个明显的信号:1、出现了挂钩资产的较大程度脱钩。2、因为黑客攻击和大户出逃,出现了 TVL 大降。
如果使用 Cobo Argus,我们可以设置这两项监控指标,监控 LP 池子中某个代币的占比,以及监控用户投入的本金,与 LP 池子中全部资金量的对比。这样我们就可以第一时间监控到异常,并且由机器人自动撤回本金。
在一般情况下,大部分用户都是通过推特上白帽的警告,才知道 DeFi 协议出现了风险,可能这时已经距离攻击发生过去了几个小时,已经没有了拯救本金的机会。
而通过机器人去监控链上的风险指标,在有风险信号时第一时间自动撤离,可以非常有效的帮用户拯救资产。
Cobo Argus 针对主流协议和流动性池,推出了相应的撤退机器人,可以有效帮用户监控风险与拯救本金。
黑客攻击、代币脱钩、借贷协议挤兑……各类链上风险事件,都可以通过一些特定的指标去监控。Cobo Argus 也允许用户设置自定义机器人,自定义监控指标与机器人被触发后合约调用。
对于有较好 DeFi 知识的专家级用户,可以自己设置监控值和机器人的动作,理论上可以在任意的 DeFi 协议上使用。在 Cobo Arugs 的社区中,最近就有用户通过自定义机器人,从一个借贷协议中拯救了自己的资产。
这一切功能都是去中心化和无需信任的——机器人由 Cobo 进行运维,但是机器人只能执行被用户授权的 DeFi 操作权限,并不能越权执行其他操作。所有授权都会记录在一个不可升级的智能合约中,合约的代码和授权记录在链上完全透明,可以被任何人所审计。
补充介绍一下,Cobo Argus 的智能合约是基于 Safe{Wallet} 的 Plugin 功能。Safe{Wallet} 是以太坊生态下最大、TVL 最高、也是公认最安全的多签钱包,大部分 DeFi 协议都会用 Safe{Wallet} 去管理国库。而 Plugin 是 Safe{Wallet} 所推出的最新的能力,支持第三方开发者通过编写 Plugin 的方式,去扩展 Safe{Wallet} 的能力。
Cobo 与 Safe{Wallet} 团队一直有紧密的联系,也在 Plugin 能力推出的早期开发了 Cobo Argus,在 Safe{Wallet} 的基础上,针对 DeFi 场景推出了一系列解决方案:
DeFi 授权:可以将特定的 DeFi 协议操作权限,授权给某个钱包单签执行。使用 Safe{Wallet} 和硬件钱包,虽然比较安全,但是使用过程很低效与繁琐,不适合经常进行 DeFi 操作,尤其在 DeFi 协议暴雷事件发生时,这种低效繁琐往往是致命的。
通过将特定权限授权给某个地址单签执行,可以提高效率,但是并不会降低安全性。因为这个地址只执行被授权的特定操作,并不能越权操作或者转走本金。
通过 Cobo Argus 的授权功能,可以避免被钓鱼发生误操作、热钱包私钥泄漏损失全部本金、团队内部作恶转走资金等情况。
DeFi 机器人:Cobo Argus 在 DeFi 授权功能的基础上,推出了机器人功能,支持用户把特定的 DeFi 协议权限授权给机器人,再由机器人进行自动化操作。例如自动 Claim 奖励、自动卖出与复投、自动撤回等。
目前, Cobo Argus已经有很多 DeFi 资管团队与个人 DeFi Whales 在使用,不仅提高了 DeFi 效率,还加强了资产安全保护。近期,Solv 与 iZUMi 等项目也使用了 Cobo Argus 作为底层的分权与安全工具。未来 Cobo 也会持续创新,保护行业中的普通用户与 builder 们,推动行业的创新与进步。
最后,DeFi 从长远来看依然拥有无穷潜力,但是,在 DeFi 世界挖矿也永远无法避免潜在的风险,希望大家谨慎参与。“工欲善其事,必先利其器”,DeFi 矿工在提高警惕、积累经验的同时,也可以善用工具,对不同风险最大可能做好应对。
Foresight News
金色财经 Jason.
白话区块链
金色早8点
LD Capital
-R3PO
MarsBit
深潮TechFlow
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。