PEPE0.00 2.67%
SUI4.33 -3.63%
TON5.46 1.87%
TRX0.25 0.93%
DOGE0.32 -0.23%
XRP2.20 -2.04%
SOL184.91 0.09%
BNB670.66 1.08%
ETH3326.46 -1.17%
BTC95793.22 -0.79%
PEPE0.00 2.67%
SUI4.33 -3.63%
TON5.46 1.87%
TRX0.25 0.93%
DOGE0.32 -0.23%
XRP2.20 -2.04%
SOL184.91 0.09%
BNB670.66 1.08%
ETH3326.46 -1.17%
BTC95793.22 -0.79%
ETH Gas5.51 Gwei
贪婪 73
作者:Luke (DeFi爱好者、Cobo Argus 产品负责人)
DeFi世界这两天正由于Curve遭遇的最新一起攻击而危机重重。从7月30日被攻击开始,CRV价格从0.74 USDT 暴跌至0.5 USDT以下,今天略有反弹,目前稳定在0.6 USDT上方。虽然目前已经查明这次攻击是由于旧版本的以太坊编程语言Vyper存在Bug所致,但是Curve面临的危机依然并未消除。
由于Curve创始人将持有大量CRV在链上抵押借贷,一旦价格进一步下跌,就有可能导致大量CRV被清仓,形成连环暴仓,让CRV价格归零也不是没有可能。Curve作为DeFi领域体量最大协议之一,其面临的最新危机对DeFi的安全性和可信度也再次形成了重大打击,这对DeFi未来发展也可能产生诸多不利影响。
在此,笔者仅从参与DeFi挖矿的矿工角度出发,探讨一下如何在日常DeFi挖矿时对类似潜在风险进行预防,以及有什么可行的方案和工具可以使用。
首先,我们通过时间线简单回顾Curve危机的发生过程。
7 月 30 日,21:34, Curve 上的 pETH-ETH pool 遭受攻击,pETH 价格跌至 $383。22:50,Curve 上的msETH-ETH pool 遭受攻击。23:34,Curve 上的 alETH-ETH 遭受攻击。
7 月 31日,0:44,以太坊编程语言 Vyper 发推表示,Vyper 0.2.15、0.2.16 和 0.3.0 版本版本的重入锁失效。
0:45 ,Curve 推特发文表示,由于重入锁故障,使用了 Vyper 0.2.15 的稳定币池 (alETH/msETH/pETH) 遭到攻击,其他池是安全的。
3:08,CRV-ETH 被攻击,链上 CRV 最低跌倒 0.08 左右。
16:41,Curve 推特发文,建议大家移除 Arb 上 Tricrypto 池的流动性,虽然没有被攻击,但是该池子可能也处于风险。
由于 Curve 被攻击,链上也出现了大量异常事件,CRV 价格暴跌,mich 的借贷仓位可能被清算的恐慌,导致了用户从 Aave 中提取流动性,USDC 和 USDT 的利率异常升高。DeFi 世界正在卷入一系列连带的风险中。
这次安全事故的特殊之处在于,是智能合约语言层面的 Bug,导致了一些知名项目的重入锁防御失效。不幸中的万幸,是 Vyper 而不是 Solidity 出现问题,不然可能整个 DeFi 世界都岌岌可危。
DeFi 因为低摩擦成本和可组合性,以及提高了高于传统世界的投资收入,吸引了大量用户参与 DeFi,但是钱包安全和智能合约安全一直都是悬在 DeFi 头顶的达摩斯之剑。
Euler、Curve 等久经考验的老牌协议暴雷,确实让很多 DeFi 的信仰者开始失去信心,一旦协议出现问题,往往就是整个本金全部亏损,除了智能合约风险外,还有钓鱼风险、私钥泄漏风险等,如何在参与 DeFi 时,可以实现兼具安全和效率,一直是困扰行业的难题。
Cobo 团队一直长期活跃在 DeFi 领域,也以注重安全而著称。在 Cobo 内部,已经针对各类 DeFi 安全问题,有一套内部的解决方案。Cobo 团队现在将这套内部解决方案产品化后对外,推出了 Cobo Argus,一个针对 DeFi 场景的解决方案,并且在新版本上线后很快达到了 1 亿美金的 TVL。
针对类似于 Curve 昨晚发生的事件,事前预防几乎无法做到。对于一般DeFi挖矿者,只能看是否能第一时间发现问题并采取应对措施,这种情况下如果能够合理利用好诸如Cobo Argus这样的工具就会起到极大帮助。Cobo Argus 提供的撤退机器人功能,可以监控链上风险指标,在出现异常时,帮助用户第一时间撤退。
以下就针对Curve的情况,具体分析一下在Cobo Argus上如何利用撤退机器人:
在 Curve 以上池子出现问题时,有两个明显的信号:
1、出现了挂钩资产的较大程度脱钩;
2、因为黑客攻击和大户出逃,出现了 TVL 大降。
如果使用Cobo Argus,我们可以设置这两项监控指标,监控 LP 池子中某个代币的占比,以及监控用户投入的本金,与 LP 池子中全部资金量的对比。这样我们就可以第一时间监控到异常,并且由机器人自动撤回本金。
在一般情况下,大部分用户都是通过推特上白帽的警告,才知道 DeFi 协议出现了风险,可能这时已经距离攻击发生过去了几个小时,已经没有了拯救本金的机会。
而通过机器人去监控链上的风险指标,在有风险信号时第一时间自动撤离,可以非常有效的帮用户拯救资产。
黑客攻击、代币脱钩、借贷协议挤兑……各类链上风险事件,都可以通过一些特定的指标去监控。Cobo Argus 也允许用户设置自定义机器人,自定义监控指标与机器人被触发后合约调用。
对于有较好 DeFi 知识的专家级用户,可以自己设置监控值和机器人的动作,理论上可以在任意的 DeFi 协议上使用。在 Cobo Arugs 的社区中,最近就有用户通过自定义机器人,从一个借贷协议中拯救了自己的资产。
这一切功能都是去中心化和无需信任的——机器人由 Cobo 进行运维,但是机器人只能执行被用户授权的 DeFi 操作权限,并不能越权执行其他操作。所有授权都会记录在一个不可升级的智能合约中,合约的代码和授权记录在链上完全透明,可以被任何人所审计。
补充介绍一下,Cobo Argus 的智能合约是基于 Safe{Wallet} 的 Plugin 功能。Safe{Wallet} 是以太坊生态下最大、TVL 最高、也是公认最安全的多签钱包,大部分 DeFi 协议都会用 Safe{Wallet} 去管理国库。而 Plugin 是 Safe{Wallet} 所推出的最新的能力,支持第三方开发者通过编写 Plugin 的方式,去扩展 Safe{Wallet} 的能力。
Cobo 与 Safe{Wallet} 团队一直有紧密的联系,也在 Plugin 能力推出的早期开发了 Cobo Argus,在 Safe{Wallet} 的基础上,针对 DeFi 场景推出了一系列解决方案:
DeFi 授权:可以将特定的 DeFi 协议操作权限,授权给某个钱包单签执行。使用 Safe{Wallet} 和硬件钱包,虽然比较安全,但是使用过程很低效与繁琐,不适合经常进行 DeFi 操作,尤其在 DeFi 协议暴雷事件发生时,这种低效繁琐往往是致命的。
通过将特定权限授权给某个地址单签执行,可以提高效率,但是并不会降低安全性。因为这个地址只执行被授权的特定操作,并不能越权操作或者转走本金。
通过 Cobo Argus 的授权功能,可以避免被钓鱼发生误操作、热钱包私钥泄漏损失全部本金、团队内部作恶转走资金等情况。
DeFi 机器人:Cobo Argus 在 DeFi 授权功能的基础上,推出了机器人功能,支持用户把特定的 DeFi 协议权限授权给机器人,再由机器人进行自动化操作。例如自动 Claim 奖励、自动卖出与复投、自动撤回等。
目前, Cobo Argus已经有很多 DeFi 资管团队与个人 DeFi Whales 在使用,不仅提高了 DeFi 效率,还加强了资产安全保护。近期,Solv 与 izumi 等项目也使用了 Cobo Argus 作为底层的分权与安全工具。未来Cobo 也会持续创新,保护行业中的普通用户与 builder 们,推动行业的创新与进步。
最后,DeFi从长远来看依然拥有无穷潜力,但是,在DeFi世界挖矿也永远无法避免潜在的风险,希望大家谨慎参与。“工欲善其事,必先利其器”,DeFi矿工在提高警惕、积累经验的同时,也可以善拥工具,对不同风险最大可能做好应对。
欢迎加入深潮TechFlow官方社群
2024.12.20
2024.12.20
2024.12.18
2024.12.16