Curve Finance:修订间差异
无编辑摘要 |
无编辑摘要 |
||
| 第8行: | 第8行: | ||
* 2023年7月,Curve 遭遇了黑客攻击,利用Vyper编程语言的漏洞,约4600万美元的ETH和CRV被盗。黑客声称其行为是“为了项目救济,并无恶意,作为白帽黑客已将资产追回”,并通过部分返还并要求奖励的方式,避免了法律追责<ref>[https://www.panewslab.com/zh/articledetails/uoacaqzc.html 清算约1亿枚 CRV,Curve的危机已经过去了吗?] - PANews</ref>。 | * 2023年7月,Curve 遭遇了黑客攻击,利用Vyper编程语言的漏洞,约4600万美元的ETH和CRV被盗。黑客声称其行为是“为了项目救济,并无恶意,作为白帽黑客已将资产追回”,并通过部分返还并要求奖励的方式,避免了法律追责<ref>[https://www.panewslab.com/zh/articledetails/uoacaqzc.html 清算约1亿枚 CRV,Curve的危机已经过去了吗?] - PANews</ref>。 | ||
* 2023年7月31日,Curve Finance 发文称,由于递归锁出现故障,许多使用Vyper 0.2.15的稳定币池(alETH/msETH/pETH)遭到攻击。受攻击事件影响,Curve DAO的原生代币CRV价格一度跌至0.59美元<ref>X 上的 Curve Finance [https://x.com/CurveFinance/status/1685693202722848768 A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock.]</ref>。 | * 2023年7月31日,Curve Finance 发文称,由于递归锁出现故障,许多使用Vyper 0.2.15的稳定币池(alETH/msETH/pETH)遭到攻击。受攻击事件影响,Curve DAO的原生代币CRV价格一度跌至0.59美元<ref>X 上的 Curve Finance [https://x.com/CurveFinance/status/1685693202722848768 A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock.]</ref>。 | ||
* 2023年9月27日,据 Lookonchain 监测,Curve 创始人 Michael Egorov 已偿还 Aave 上所有债务<ref>X 上的 Lookonchain [https://x.com/lookonchain/status/1706846422304534836 Michael Egorov deposited 68M $CRV ($35.5M) to #Silo and borrowed 10.77M $crvUSD in the past 2 days.]</ref>。 | * 2023年9月27日,据 Lookonchain 监测,Curve 创始人 Michael Egorov 已偿还 Aave 上所有债务<ref name=":0">X 上的 Lookonchain [https://x.com/lookonchain/status/1706846422304534836 Michael Egorov deposited 68M $CRV ($35.5M) to #Silo and borrowed 10.77M $crvUSD in the past 2 days.]</ref>。 | ||
* 2023年12月13日,Conic Finance 社区提案显示,Conic Finance 计划推出 v2 版本,将在两天后启动三次投票,这些投票将决定 Conic Omnipools 如何重新发布<ref>[https://gov.conic.finance/t/return-of-the-coneheads/130?u=bb8 Return of the Coneheads - Proposals] - Conic Finance</ref>。 | * 2023年12月13日,Conic Finance 社区提案显示,Conic Finance 计划推出 v2 版本,将在两天后启动三次投票,这些投票将决定 Conic Omnipools 如何重新发布<ref>[https://gov.conic.finance/t/return-of-the-coneheads/130?u=bb8 Return of the Coneheads - Proposals] - Conic Finance</ref>。 | ||
* 2024年3月12日,Curve Finance 宣布其借贷平台 Curve Lend(即 LlamaLend)已上线,目前有 3 个多头市场和 1 个空头市场<ref>X 上的 Curve Finance [https://x.com/CurveFinance/status/1767519390483005865 Curve Lend (aka LlamaLend) is up!] </ref>。 | * 2024年3月12日,Curve Finance 宣布其借贷平台 Curve Lend(即 LlamaLend)已上线,目前有 3 个多头市场和 1 个空头市场<ref>X 上的 Curve Finance [https://x.com/CurveFinance/status/1767519390483005865 Curve Lend (aka LlamaLend) is up!] </ref>。 | ||
| 第43行: | 第43行: | ||
Curve 黑客地址 <code>0x50f9202e0f1c1577822BD67193960B213CD2f331</code> 已经通过 Tornado Cash 转移了资金,该混币器平台才受到美国财政部的制裁。本次事件导致的总损失约为 77 万美元,其中包括被FixedFloat交易所冻结的 20 万美元。 | Curve 黑客地址 <code>0x50f9202e0f1c1577822BD67193960B213CD2f331</code> 已经通过 Tornado Cash 转移了资金,该混币器平台才受到美国财政部的制裁。本次事件导致的总损失约为 77 万美元,其中包括被FixedFloat交易所冻结的 20 万美元。 | ||
=== Vyper 漏洞攻击 === | |||
2023年7月30日,因 Vyper 部分版本(0.2.15、0.2.16和0.3.0)存在功能失效的递归锁漏洞,Curve稳定币池alETH/msETH/pETH遭遇攻击。受Curve部分稳定币池攻击事件影响,Alchemix、JPEG'd、Metronome、deBridge 和 Ellipsis 累计损失约为7000万美元: | |||
* Alchemix:7259枚ETH和4821枚alETH(约 2200万美元); | |||
* JPEG'd:6106枚ETH (约1140万美元); | |||
* Metronome:866.554枚ETH (约160万美元),955枚smETH(约170万美元); | |||
* CRV-ETH pool: 1.05 万枚 ETH(约 1940 万美元), 719 万枚 CRV(约 440 万美元)。 | |||
7月31日,Curve Finance总锁仓量(TVL)已由7月30日的32.66亿美元降至 18.69亿美元,24 小时降幅为42.78%,CRV价格24小时跌幅为14.89%。CRV 价格下跌走势迫使 Curve 创始人 Michael Egorov 在 Aave 上的7000万美元借款头寸面临清算风险。鉴于此,Egorov 通过OTC出售CRV,换得资金来还贷款。自8月1日开始 OTC 出售以来,截止8月6日,Egorov 已累计向30家投资者/机构出售了1.4265亿枚CRV ,换得资金5706万美元。 | |||
8月6日,Egorov 在四个平台上仍抵押 2.698 亿枚 CRV(约合 1.66 亿美元),债务规模约为 4870 万美元。 | |||
9月27日,据 Lookonchain 监测,Curve 创始人 Michael Egorov 已偿还 Aave 上所有债务<ref name=":0" />。 | |||
11月6日,Curve 发文称,7月底受到几个Curve池黑客攻击影响的用户需检查GitHub存储库,查找地址并检查数据是否准确。该存储库记录因Vyper攻击而遭受损失的用户地址和损失资金恢复比例,Curve之后将依赖这些数据进行操作<ref>X 上的 Curve Finance [https://x.com/curvefinance/status/1721216799096631572 please check this repository.] </ref>。 | |||
==== 攻击者归还资金 ==== | |||
7月30日,漏洞利用者 coffeebabe.eth将786枚ETH(145 万美元)和955枚smETH(174万美元)归还给Metronome,将 2879枚ETH(536万美元)归还给Curve Finance; | |||
8月3日,Curve基金会向漏洞利用者发送了链上消息,如果攻击者在 8 月 6 日上午 8 点(UTC)之前归还剩余的90%,将获得被盗资金的10%作为赏金; | |||
8月4日,攻击者0x6ec向JPEG'd归还了 5495枚WETH (1000万美元) 并保留了610枚ETH (110万美元) 作为 10% 赏金;攻击者0xdce向 AlchemixFi 返还 2258枚ETH (415 万美元) 和 4820枚alETH (882 万美元); | |||
8月5日,0xdce向AlchemixFi返还 4999 枚ETH(918 万美元),已全部返还; | |||
8月6日,32%的被盗资产(约 1870 万美元)尚未归还: | |||
* 来自 MetronomeDAO(由 coffeebabe.eth 保管)的 80枚 ETH(1.47 万美元); | |||
* 来自 CRV-ETH 池的 7681枚ETH(1440 万美元)和 719万枚 CRV(443万美元)。 | |||
8月7日,Curve Finance发推称,CRV/ETH漏洞攻击者自愿归还资金的截止日期已过,将提供赏金对任何提供导致黑客被捕和定罪信息的人的报酬(目前为185万美元)<ref>[https://www.panewslab.com/zh/articledetails/1s81wb3u.html Curve风波告一段落,扒一扒关键利益团体的资金动向] - PANews</ref>。 | |||
== 外部链接 == | == 外部链接 == | ||
2024年11月29日 (五) 03:07的版本
Curve Finance是一个去中心化的加密货币交易所(DEX),类似于 Uniswap。Uniswap 允许您交换任何ERC-20代币(前提是有流动性),而 Curve 允许您在以太坊区块链上交易ERC-20稳定币。Curve 是 DeFi 领先的 AMM(自动做市商)。 拥有数百个流动性池,并由 Curve 的 CurveDAO 提供流动性池的加密货币激励奖励使用。 用户依靠 Curve 的专有公式在 ERC-20 代币之间进行高流动性、低滑点、低费用的交易[1]。截至2024年11月,Curve 的总价值锁仓(TVL)约为 17.74 亿美元,位居所有去中心化交易所的第四位[2]。
发展历程
- 2019年,Curve Finance 是由在旧金山的计算机安全公司CTO,软件工程师 Michael Egorov 开发。
- 2020年1月,最初名为 StableSwap,正式发布更名为 Curve Finance。
- 2021年6月,Curve 发布了其版本2(Curve V2),引入了名为 TriCrypto 的流动性池,实现了ETH、BTC等稳定资产的交换,而不仅仅是稳定币的交换。
- 2023年7月,Curve 遭遇了黑客攻击,利用Vyper编程语言的漏洞,约4600万美元的ETH和CRV被盗。黑客声称其行为是“为了项目救济,并无恶意,作为白帽黑客已将资产追回”,并通过部分返还并要求奖励的方式,避免了法律追责[3]。
- 2023年7月31日,Curve Finance 发文称,由于递归锁出现故障,许多使用Vyper 0.2.15的稳定币池(alETH/msETH/pETH)遭到攻击。受攻击事件影响,Curve DAO的原生代币CRV价格一度跌至0.59美元[4]。
- 2023年9月27日,据 Lookonchain 监测,Curve 创始人 Michael Egorov 已偿还 Aave 上所有债务[5]。
- 2023年12月13日,Conic Finance 社区提案显示,Conic Finance 计划推出 v2 版本,将在两天后启动三次投票,这些投票将决定 Conic Omnipools 如何重新发布[6]。
- 2024年3月12日,Curve Finance 宣布其借贷平台 Curve Lend(即 LlamaLend)已上线,目前有 3 个多头市场和 1 个空头市场[7]。
- 2024年6月13日,根据余烬推文表示,Curve创始人 Michael Egorov 在多个平台上的 CRV 借贷仓位已经跌破清算线,其中在Inverse Finance上的主要地址部分CRV正在被清算[8]。
- 2024年6月28日,据Cointelegraph报道,Curve Finance已改变其费用分配机制,从3crv代币过渡到其原生稳定币crvUSD。此举旨在提高crvUSD的实用性,将稳定币整合到Curve Finance生态系统中以激励用户。过渡到crvUSD意味着用户现在将以美元计价的稳定币获得费用[9]。
- 2024年9月17日,TON 基金会宣布与去中心化交易平台 Curve Finance 建立合作伙伴关系。本次合作将孵化一个基于 TON 的新稳定币兑换项目,旨在简化稳定币交易、提高流动性并增强 TON 上的 DeFi 体验[10]。
技术细节
Curve Finance 引入了名为 StableSwap 的自动化做市商(AMM)机制,专门用于稳定币之间的交换,或类似 stETH/ETH 这样的等价资产流动性池。
在 Uniswap 开发的传统 AMM 中,遵循 “xy=常数” 的原则,这意味着每当交易发生时,价格会发生变化,导致一定的滑点(slippage)。因此,Uniswap 的 AMM 机制并不适合用于创建像稳定币之间这种价值接近或等同的流动性池。
而 StableSwap 则通过将 “xy=常数” 和 “x+y=常数” 这两种曲线结合,来优化交易。具体来说,StableSwap 机制在市场供需平衡不被大幅打破的情况下,维持 “x+y=常数” 作为流动性池的操作方式,从而大幅降低滑点(slippage)。只有当市场的供需关系发生显著偏离时,StableSwap 才会转换为类似 Uniswap 的 “xy=常数” 机制,出现价格波动和滑点[11]。
因此,其他去中心化交易所(如 Uniswap 和 PancakeSwap)在进行稳定币之间的交换时,也可能利用 Curve Finance 的 StableSwap 机制,优化交易效率,减少滑点。
该协议是跨链可用的,支持以太坊、Arbitrum、Aurora、Avalanche、Fantom、Harmony、Optimism、Polygon、xDai 和 Moonbeam 等链。用户通常需要将资金从以太坊桥接到这些链上,以使用 Curve 协议。
相关争议
2024年6月30日,Christian 回应了社区用户质疑 Curve 创始人疑似场外出售 40 万 USDT 的 CRV,导致价格下跌的指控,并解释了下跌的原因是其他巨鲸的活动[12]。
相关事件
DNS 劫持攻击
2022年8月10日,Curve Finance 突遭 DNS 劫持攻击。攻击发生之后,Curve 发推确认 Curve.fi 域名服务器遭到盗用,警告用户撤销 Curve 上的 0x9eb5f8e83359bb5013f3d8eee60bdce5654e8881 合约,暂时使用 curve.exchange[13]。
2022年8月10日,币安创始人赵长鹏就 Curve 被黑客盗窃事件发推特表示:Curve 使用 GoDaddy 作为 DNS 是不安全的,任何 Web3 项目都不应该使用它,因为它非常容易受到社会工程的影响。
本次 Curve Finance 遭遇了 DNS 劫持攻击,是由于域名注册商 iwantmyname.com 的系统遭到破坏,curve 的 name server 被篡改成黑客控制的 dns server,curve.fi 的流量被重定向到黑客的服务器 5.199.174.238 和 87.120.37.46。
同时,攻击者部署的恶意 dns server 就是那两个恶意网页服务器的 ip,大概在那上面同时设有dns 和网页的服务,因而导致不知情的 curve.fi 用户被黑客控制的 0x9eb5f8e83359bb5013f3d8eee60bdce5654e8881 的恶意合约互动。
链上数据显示,与该漏洞相关的恶意合约似乎已经从八个不同的受害者那里窃取 USDC 和 DAI。这些资金已经转移到攻击者的钱包并换成了 ETH 代币,然后被发送到加密货币交易所 FixedFloat。
Curve 黑客地址 0x50f9202e0f1c1577822BD67193960B213CD2f331 已经通过 Tornado Cash 转移了资金,该混币器平台才受到美国财政部的制裁。本次事件导致的总损失约为 77 万美元,其中包括被FixedFloat交易所冻结的 20 万美元。
Vyper 漏洞攻击
2023年7月30日,因 Vyper 部分版本(0.2.15、0.2.16和0.3.0)存在功能失效的递归锁漏洞,Curve稳定币池alETH/msETH/pETH遭遇攻击。受Curve部分稳定币池攻击事件影响,Alchemix、JPEG'd、Metronome、deBridge 和 Ellipsis 累计损失约为7000万美元:
- Alchemix:7259枚ETH和4821枚alETH(约 2200万美元);
- JPEG'd:6106枚ETH (约1140万美元);
- Metronome:866.554枚ETH (约160万美元),955枚smETH(约170万美元);
- CRV-ETH pool: 1.05 万枚 ETH(约 1940 万美元), 719 万枚 CRV(约 440 万美元)。
7月31日,Curve Finance总锁仓量(TVL)已由7月30日的32.66亿美元降至 18.69亿美元,24 小时降幅为42.78%,CRV价格24小时跌幅为14.89%。CRV 价格下跌走势迫使 Curve 创始人 Michael Egorov 在 Aave 上的7000万美元借款头寸面临清算风险。鉴于此,Egorov 通过OTC出售CRV,换得资金来还贷款。自8月1日开始 OTC 出售以来,截止8月6日,Egorov 已累计向30家投资者/机构出售了1.4265亿枚CRV ,换得资金5706万美元。
8月6日,Egorov 在四个平台上仍抵押 2.698 亿枚 CRV(约合 1.66 亿美元),债务规模约为 4870 万美元。
9月27日,据 Lookonchain 监测,Curve 创始人 Michael Egorov 已偿还 Aave 上所有债务[5]。
11月6日,Curve 发文称,7月底受到几个Curve池黑客攻击影响的用户需检查GitHub存储库,查找地址并检查数据是否准确。该存储库记录因Vyper攻击而遭受损失的用户地址和损失资金恢复比例,Curve之后将依赖这些数据进行操作[14]。
攻击者归还资金
7月30日,漏洞利用者 coffeebabe.eth将786枚ETH(145 万美元)和955枚smETH(174万美元)归还给Metronome,将 2879枚ETH(536万美元)归还给Curve Finance;
8月3日,Curve基金会向漏洞利用者发送了链上消息,如果攻击者在 8 月 6 日上午 8 点(UTC)之前归还剩余的90%,将获得被盗资金的10%作为赏金;
8月4日,攻击者0x6ec向JPEG'd归还了 5495枚WETH (1000万美元) 并保留了610枚ETH (110万美元) 作为 10% 赏金;攻击者0xdce向 AlchemixFi 返还 2258枚ETH (415 万美元) 和 4820枚alETH (882 万美元);
8月5日,0xdce向AlchemixFi返还 4999 枚ETH(918 万美元),已全部返还;
8月6日,32%的被盗资产(约 1870 万美元)尚未归还:
- 来自 MetronomeDAO(由 coffeebabe.eth 保管)的 80枚 ETH(1.47 万美元);
- 来自 CRV-ETH 池的 7681枚ETH(1440 万美元)和 719万枚 CRV(443万美元)。
8月7日,Curve Finance发推称,CRV/ETH漏洞攻击者自愿归还资金的截止日期已过,将提供赏金对任何提供导致黑客被捕和定罪信息的人的报酬(目前为185万美元)[15]。
外部链接
参考链接
- ↑ https://resources.curve.fi/
- ↑ Dexes TVL Rankings - DefiLlama
- ↑ 清算约1亿枚 CRV,Curve的危机已经过去了吗? - PANews
- ↑ X 上的 Curve Finance A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock.
- ↑ 5.0 5.1 X 上的 Lookonchain Michael Egorov deposited 68M $CRV ($35.5M) to #Silo and borrowed 10.77M $crvUSD in the past 2 days.
- ↑ Return of the Coneheads - Proposals - Conic Finance
- ↑ X 上的 Curve Finance Curve Lend (aka LlamaLend) is up!
- ↑ X 上的 余烬 Curve 创始人的 CRV 借贷仓位已经开始清算了。
- ↑ Curve Finance adopts crvUSD for fee distribution
- ↑ X 上的 TON TON Foundation collaborates with @CurveFinance to incubate a new stable swap project on #TON!
- ↑ Curve · GitHub
- ↑ X 上的 Christian2022.eth 四十万U不是买CRV的,是买了锁住的CVX。
- ↑ Curve Finance突遭DNS劫持攻击!
- ↑ X 上的 Curve Finance please check this repository.
- ↑ Curve风波告一段落,扒一扒关键利益团体的资金动向 - PANews