与 Solidity 一样,Vyper 是以太坊的智能合约开发语言。
上周,DeFi 面临一场危机,这次危机的对象是该生态系统的中坚力量之一 Curve Finance。
Curve 是一家领先的去中心化交易平台,因其流动性池而受到许多 DeFi 用户的欢迎,该流动性池使储户能够从多种流行Token中赚取收益。这包括比特币、以太币和质押以太币,例如 stETH 和 RETH。还有 USDC 和 USDT 等稳定币。
Curve 如此受欢迎的原因是,除了赚取存款收益外,流动性提供者还可以通过 Curve 的治理Token CRV 大幅提高收入。
例如,Curve 最受欢迎的矿池 3pool 由 DAI、USDC 和 USDT 组成。池中的基本 APY 为 0.85%,但是,通过锁定 CRV Token,可以将 CRV 奖励从 0.94% 提高到 2.35%。
您可以通过Convex Finance进一步提高您的回报,并通过其 CVX Token赚取额外回报。
1、Curve 漏洞事件
上周,Curve 宣布其部分矿池存在重入漏洞。这是由旧版本 Vyper 编译器的错误引起的。该漏洞允许攻击者耗尽某些 Curve 池的资金。总共提取了约 6200 万美元。
与 Solidity 一样,Vyper 是以太坊的智能合约开发语言。Vyper 是仅次于 Solidity 的第二流行智能合约语言,基于广泛使用的 Python 编程语言。然而,它负责确保DeFi 中不到 30 亿美元的 TVL,而Solidity 中的 TVL 则超过 660 亿美元。
图表:DeFiLlama
2、只有当潮水退去,你才知道谁在裸泳
Vyper 错误并不是唯一的问题。Curve 的创始人 Michael Egorov承诺在多个 DeFi 协议中占据 CRV 总市值的 34% 。
这意味着,如果 CRV 的Token开始暴跌到某个阈值以下,CRV 抵押品将开始涌入市场以清算头寸。
为了稳定Curve,Tron区块链创始人孙宇晨随后介入购买CRV以帮助稳定价格。
正如 Bankless 的 Ryan 指出的那样,CRV 潜在的抛售压力很简单,杠杆出了问题。
但人们确实应该关注谁持有与他们正在使用的 DeFi 协议相关的Token。以及这些持有人正在用它们做什么。
最终的结果是,Curve 这次似乎幸存了下来,但它确实凸显了 DeFi 生态系统仍然面临的明显问题。
3、管理软件漏洞
开发人员面临着一场无休止的猫鼠游戏,恶意黑客试图找到漏洞并利用他们的代码。过去,这仅限于位于防火墙后面的企业系统,这些系统通常需要社会工程或松懈的安全实践才能进入。
公共区块链改变了这一点。在创建去中心化应用程序时,创建了巨大的加密货币蜜罐,供攻击者集中精力。当公共区块链网络上有数亿美元可用时,为什么要跨越所有障碍来利用机构呢?
任何花费大量时间作为开发人员或与开发人员一起工作的人都会意识到开发是多么耗时。没有任何代码是完美或完整的。总有一些方法可以改进或优化它。
这包括识别漏洞,这些漏洞在被发现之前通常会潜伏数年。2014 年的Heartbleed OpenSSL 漏洞就是这样一个例子,该漏洞是由 2012 年对代码库进行的更改引起的。
据估计,在检测到该漏洞时,有 17% 的网络安全网络服务器受到该漏洞的影响。该漏洞使攻击者能够检索服务器上的加密密钥并冒充其他人访问它们。
4、奇偶校验多重签名
早在 2017 年,我们还看到 Parity Technologies 的多重签名钱包被利用,数量达到 153037 以太币(按今天的价格计算为 2.9 亿美元)。这是由库依赖项中的漏洞引起的。
此后的几年里,还有无数的进一步的探索。
只是永远不可能消除代码中的错误。即使使用人工智能技术,因为底层的大语言模型 (LLM) 也是根据容易犯错的人类创建的代码进行训练的。
我们能否达到让 DeFi 真正发挥其潜力的程度?
我确实看到了我对生态系统充满信心的领域,例如 Circle 的 USDC。然而,他们控制着Token的发行,并且其业务运营方式非常透明,包括提供其储备的审计报告。
还有基础网络协议本身,例如以太坊。虽然我不认为即将发生任何可能威胁以太坊偿付能力或整个以太坊网络安全的事件,但正如 DAO 黑客事件所证明的那样,有一些方法可以从重大事件中恢复(尽管以太坊社区中很少有人会这样做)再次支持这种程度的干预)。
5、堆叠 DeFi App
我认为问题在于将应用程序堆叠到应用程序上并在多个 DeFi 应用程序中创建复杂头寸的能力。
这是有人用 Curve 存入Token,将 CRV 存入 Convex 以提高收益率,并可能进一步锁定他们的 CVX Token。Curve 可能是 DeFi 的中流砥柱之一。然而,随着每增加一个 DeFi 协议的使用,用户面临的风险就会显着增加。
在每个 DeFi 协议中,都会有一小部分真正了解其智能合约如何工作的开发人员。当您将多种协议组合在一起时,这个数字会变得更小。
这意味着极少数用户知道他们的资金到底有多安全,而只是追逐广告上的收益率。
团队确实采取了一些措施,例如聘请审计员来帮助验证他们的合同源代码。但这些审计师是否会重新参与每一次变更?这些审计员是否持续监控所有依赖项的更新或漏洞?即使是这样,一些漏洞仍然会被漏掉。
6、保护主流用户
我相信,为了让 DeFi 应用成为主流,我们需要为用户提供更好的保护。这可能是以机构的形式出现的,这些机构拥有足够的资本,可以在发生漏洞时为用户带来好处。或者只是为他们提供保险。
也许中心化交易平台最终会成为许多人使用的网关?看看 Coinbase 的 Base 网络在这方面如何发展将会非常有趣,因为他们将有能力在网络中提供支持。
在过去的几年里,DeFi 生态系统中锁定的价值之大令人难以置信。然而,从个人角度来看,我仍然不愿意将任何有意义的资金投入到 DeFi 协议中,除非我能够全天候监控我对它们所做的事情。
我对 USDC 和 ETH 等稳定币的担忧较少,因为它们的运作方式更加透明,不需要挖掘智能合约代码。
如果在如何保护用户资金方面没有取得一些突破,我确实认为,对于那些真正了解自己在做什么的用户来说,许多 DeFi 协议仍将是利基应用。尤其是现在,您可以将资金存入普通银行,收益率为 4-5%,并有政府担保。
我仍然一如既往地是区块链和 web3 的热心支持者。但 DeFi 的某些部分仍然感觉像是高风险的扑克游戏,而且我不是赌徒。