撰写：DEFI DAVE

编译：深潮 TechFlow

蛇在人类的集体潜意识中有着特殊的地位。它们象征着转变、重生、不朽和治愈。本周可以说，DeFi 经历了它自己的重生。一种有毒的 0-day 漏洞深入到 Vyper 编程语言的编译器中，从而在整个堆栈和市场中产生连锁反应，让做空者垂涎三尺。

作为 DeFi 的中流砥柱之一，Curve Finance 在整个事件中处于核心地位，将该协议推向了迄今为止最具挑战性的测试，需要采取前所未有的行动来减轻潜在的漏洞造成的损害。链上的白帽们与黑客们进行了激烈的对抗，白帽们试图恢复损失，而黑客们则试图提取价值数百万美元的流动性。与此同时，像 Curve 创始人 Michael Egorov 和其他人这样建设者们则紧守阵地，利用他们最亲密合作伙伴 Frax 的新型激励机制，再加上与一些盟友的场外交易，似乎拯救了 CRV 代币免于陷入死亡螺旋。

与每次危机一样，协议在最不利的条件下经受了压力测试。那些幸存下来的人变得更加强大，而那些没有幸存下来的人则只能灭亡。去中心化金融并不陌生于数百亿美元消失得无影无踪，就像去年 Terra Luna 发生的情况一样。尽管我们谈论的是协议，但它们是由人组成的。在这艰难的时刻，我们看到集体站了出来，供全世界见证，要么大获成功，要么淘汰出局。

随着战争硝烟最终消散，我们可以思考发生了什么，为什么会发生，以及它对去中心化金融的未来意味着什么。毫不怀疑，尽管最糟糕的情况大部分已经过去，但确实需要进行一些自我反思。

（被遗忘的）机器中的幽灵

Vyper 是一种面向以太坊虚拟机（EVM）的编程语言，于 2017 年推出。尽管比 Solidity 不太受欢迎，但 Vyper 为 EVM 提供了更多的语言多样性，这对于避免单一文化至关重要。我甚至不敢想象如果只有一种语言存在，情况会更加糟糕。无论如何，Curve 使用 Vyper 来创建和部署他们的智能合约。事实上，为了强调其重要性，去年 Curve 社区批准了一个供应商评估，用于资助 Vyper 的开发。

这个漏洞最终归结为对编译器审计激励的问题。编译器是一种神奇的软件设备，将人类编写的计算机语言转化为机器可读的代码。它们存在于一个被错误地认为是安全的堆栈部分，因此没有受到主要关注智能合约层面的审计人员的关注。此外，由于其结构的特点，相比 Solidity，Vyper 更容易阅读，从而更容易找到漏洞。在 Vyper 遭受黑客攻击后的几天里，社区成员提出了多次呼吁，希望能够创造适当的激励机制，以防止类似的漏洞再次发生。

然而，对于黑客来说，动机是显而易见的，他们深入虚拟机中寻找潜在的奖励，因为易受攻击的协议的悬赏机会越来越少。在牛市持续数年的时候，非知名项目获得了数亿美元的市值锁定（TVL），使它们成为诱人目标。随着机会越来越少，精明的操作者被迫寻求创新，最终导致他们去了一个经常被遗忘的地方，编译器。

为了让人们对这个漏洞被忽视了多久有所了解，这个漏洞自 2021 年以来一直存在，直到最新版本的 Vyper 0.3.1 中才被意外修复。然而，那些包含原生 ETH 并且使用版本 0.2.15、0.2.16 和 0.3.0 编写的流动性池合约仍然在继续运行。第一次攻击发生在周末，当一切结束时，价值 6900 万美元的价值被窃取。受到攻击最严重的是 JPEG'D、Alchemix、Metronome 甚至 Curve 自身的流动性池。

在面对漏洞时，时间至关重要，隐私更是如此。在危机时刻，白帽们团结一致寻找解决方案。英雄们崛起，比如 0xc0ffeebabe，他的努力和行动将挽回数百万美元的资金。不幸的是，并非每个人都站在同一条战线上。正如 Otter Sec 的审计师 Robert Chen 所说：“审计师不为他们的报告所产生的外部性付费。相反，他们通过点赞、转发和宣传来获得回报。”在这里，我们再次发现激励机制的作用，但与其说是黑客们在寻找残羹剩饭，不如说是审计师们更看重转发而不是恢复资金。

鲨鱼环视的 CRV

CRV 是一种与 Curve 协议紧密相连的治理代币。它的重要性在于它激励的行为，即深度流动性。那些将他们的 CRV 锁定为 veCRV 的人可以对向 LP 提供的奖励方向进行投票。这种开创性的模型为复杂的投票激励生态系统奠定了基础，并帮助 Curve 赢得了“流动性黑洞”的绰号。

Vyper 漏洞影响最大的一个池子是 Curve 上的 CRV/ETH 交易对，这是 CRV 在链上的主要流动性来源。这似乎给 Michael 带来了麻烦，因为他拥有大量自己的 CRV（以及在 Fraxlend、AAVE、Abracadabra 等各种借贷协议中的大部分供应）。如果他被清算，将使 CRV 接近零，并使 Curve 建立的整个激励结构陷入混乱。

Michael 对管理借贷头寸并不陌生。事实上，根据 Curve Cap 的数据，Michael 自 2018 年以来一直在利用链上货币市场，从未被清算过，甚至一次都没有。正是通过与借贷协议的互动，Michael 受到启发，建立了 Curve，以便在稳定币之间进行平滑的交换，这后来推动他部署了 crvUSD，提供了一种更温和的清算机制。现在，鲨鱼在他流血的抵押头寸周围游动，Michael 需要迅速采取行动，防止它们吞噬他的 CRV 头寸，他做了他最擅长的事情。

在所有的借贷协议中，需要优先考虑的是他的 Fraxlend 头寸。Michael 在 Fraxlend 上有一笔 1700 万美元的贷款，价值 2400 万美元的抵押品，该交易对的利用率接近 100%。Fraxlend 的设计是，当利用率达到最大点时，如果达到 100%，它会自动将利率乘以 2，每 12 小时翻倍一次。如果不加以处理，该交易对的年化收益率将达到数千个百分点，肯定会被清算。

Michael 采取了前所未有的举措，他创建了一种独一无二的仪表，奖励那些用 fFRAX 为 CRV/FRAX（Fraxlend CRV 交易对中 FRAX 的收据代币）提供流动性的人。这个仪表的目标是激励人们借出 FRAX，以降低 CRV/FRAX 的利用率。作为 Frax 债务的二级市场，这种激励机制在未来可能还有其他有趣的用途。

除了激励措施之外，更强大的是坚如磐石的关系，即使在最极端的情况下也可以依靠的联盟。来自加密领域的 OG 和现任有影响力的人都给予了支持，甚至包括吴忌寒在内的人都发推说他要买入。在他发布 fFRAX/crvUSD 激励仪表后的几个小时内，数百万 CRV 被以场外交易的方式卖给了 Justin Sun、DCF God、CT2P 和未知的匿名者。一旦这些销售消息开始公开，CRV 的价格就会恢复，并且数百万美元的空头头寸将被清算。随着场外交易仍在进行中，CRV 和 Curve 似乎将度过这一天。

结论

最紧迫的危险几乎已经过去，有待安全地管理贷款头寸，我们可以从这一连串动荡的事件中得出什么结论呢？首先，那些说“DeFi 已死”的人是错误的，事实上，它比以往任何时候都更强大。

如果这种危机发生在传统金融的不透明世界中，我们可能要等到几年后才能听到完整的细节。由于这个故事是在链上书写的，所有人都能看到，我们能够逐个交易地剖析发生了什么。这种前所未有的透明度使我们能够一块一块地监控借贷协议和流动性池的健康状况，并了解为什么会采取某些行动。

然而，我们必须记住，尽管 DeFi 使机会均等化，并降低了人们参与的门槛，但这并不意味着结果是平等的。激励措施不关心感受，它们关心的是积累更多的价值。无论是黑客攻击的货币价值，还是组织恢复的社会地位，推荐给借贷协议的参数的动机，或者在偿还借款人背后的经济博弈理论，过去一周发生的每一个行动都是冷酷无情的激励措施的结果。

如果 DeFi 真的要达到传统金融的水平，尤其是在更多的价值变得岌岌可危的情况下，它必须与激励驱动的世界的现实作斗争，并进行相应的建设。这就是中本聪的思考方式，同样我们也必须为了繁荣而做相同的事情。