Curve Finance

• 2019年，Curve Finance 是由在舊金山的計算機安全公司CTO，軟件工程師 Michael Egorov 開發。
• 2020年1月，最初名為 StableSwap，正式發布更名為 Curve Finance。
• 2021年6月，Curve 發布了其版本2（Curve V2），引入了名為 TriCrypto 的流動性池，實現了ETH、BTC等穩定資產的交換，而不僅僅是穩定幣的交換。
• 2023年7月，Curve 遭遇了黑客攻擊，利用Vyper編程語言的漏洞，約4600萬美元的ETH和CRV被盜。黑客聲稱其行為是「為了項目救濟，並無惡意，作為白帽黑客已將資產追回」，並通過部分返還並要求獎勵的方式，避免了法律追責^[3]。
• 2023年7月31日，Curve Finance 發文稱，由於遞歸鎖出現故障，許多使用Vyper 0.2.15的穩定幣池(alETH/msETH/pETH)遭到攻擊。受攻擊事件影響，Curve DAO的原生代幣CRV價格一度跌至0.59美元^[4]。
• 2023年9月27日，據 Lookonchain 監測，Curve 創始人 Michael Egorov 已償還 Aave 上所有債務^[5]。
• 2023年12月13日，Conic Finance 社區提案顯示，Conic Finance 計劃推出 v2 版本，將在兩天後啟動三次投票，這些投票將決定 Conic Omnipools 如何重新發布^[6]。
• 2024年3月12日，Curve Finance 宣布其借貸平台 Curve Lend（即 LlamaLend）已上線，目前有 3 個多頭市場和 1 個空頭市場^[7]。
• 2024年6月13日，根據餘燼推文表示，Curve創始人 Michael Egorov 在多個平台上的 CRV 借貸倉位已經跌破清算線，其中在Inverse Finance上的主要地址部分CRV正在被清算^[8]。
• 2024年6月28日，據Cointelegraph報道，Curve Finance已改變其費用分配機制，從3crv代幣過渡到其原生穩定幣crvUSD。此舉旨在提高crvUSD的實用性，將穩定幣整合到Curve Finance生態系統中以激勵用戶。過渡到crvUSD意味着用戶現在將以美元計價的穩定幣獲得費用^[9]。
• 2024年9月17日，TON 基金會宣布與去中心化交易平台 Curve Finance 建立合作夥伴關係。本次合作將孵化一個基於 TON 的新穩定幣兌換項目，旨在簡化穩定幣交易、提高流動性並增強 TON 上的 DeFi 體驗^[10]。

Curve Finance 引入了名為 StableSwap 的自動化做市商（AMM）機制，專門用於穩定幣之間的交換，或類似 stETH/ETH 這樣的等價資產流動性池。

在 Uniswap 開發的傳統 AMM 中，遵循 「xy=常數」 的原則，這意味着每當交易發生時，價格會發生變化，導致一定的滑點（slippage）。因此，Uniswap 的 AMM 機制並不適合用於創建像穩定幣之間這種價值接近或等同的流動性池。

而 StableSwap 則通過將 「xy=常數」 和 「x+y=常數」 這兩種曲線結合，來優化交易。具體來說，StableSwap 機制在市場供需平衡不被大幅打破的情況下，維持 「x+y=常數」 作為流動性池的操作方式，從而大幅降低滑點（slippage）。只有當市場的供需關係發生顯著偏離時，StableSwap 才會轉換為類似 Uniswap 的 「xy=常數」 機制，出現價格波動和滑點^[11]。

因此，其他去中心化交易所（如 Uniswap 和 PancakeSwap）在進行穩定幣之間的交換時，也可能利用 Curve Finance 的 StableSwap 機制，優化交易效率，減少滑點。

該協議是跨鏈可用的，支持以太坊、Arbitrum、Aurora、Avalanche、Fantom、Harmony、Optimism、Polygon、xDai 和 Moonbeam 等鏈。用戶通常需要將資金從以太坊橋接到這些鏈上，以使用 Curve 協議。

2024年6月30日，Christian 回應了社區用戶質疑 Curve 創始人疑似場外出售 40 萬 USDT 的 CRV，導致價格下跌的指控，並解釋了下跌的原因是其他巨鯨的活動^[12]。

DNS 劫持攻擊

2022年8月10日，Curve Finance 突遭 DNS 劫持攻擊。攻擊發生之後，Curve 發推確認 Curve.fi 域名服務器遭到盜用，警告用戶撤銷 Curve 上的 0x9eb5f8e83359bb5013f3d8eee60bdce5654e8881 合約，暫時使用 curve.exchange^[13]。

2022年8月10日，幣安創始人趙長鵬就 Curve 被黑客盜竊事件發推特表示：Curve 使用 GoDaddy 作為 DNS 是不安全的，任何 Web3 項目都不應該使用它，因為它非常容易受到社會工程的影響。

本次 Curve Finance 遭遇了 DNS 劫持攻擊，是由於域名註冊商 iwantmyname.com 的系統遭到破壞，curve 的 name server 被篡改成黑客控制的 dns server，curve.fi 的流量被重定向到黑客的服務器 5.199.174.238 和 87.120.37.46。

同時，攻擊者部署的惡意 dns server 就是那兩個惡意網頁服務器的 ip，大概在那上面同時設有dns 和網頁的服務，因而導致不知情的 curve.fi 用戶被黑客控制的 0x9eb5f8e83359bb5013f3d8eee60bdce5654e8881 的惡意合約互動。

鏈上數據顯示，與該漏洞相關的惡意合約似乎已經從八個不同的受害者那裡竊取 USDC 和 DAI。這些資金已經轉移到攻擊者的錢包並換成了 ETH 代幣，然後被發送到加密貨幣交易所 FixedFloat。

Curve 黑客地址 0x50f9202e0f1c1577822BD67193960B213CD2f331 已經通過 Tornado Cash 轉移了資金，該混幣器平台才受到美國財政部的制裁。本次事件導致的總損失約為 77 萬美元，其中包括被FixedFloat交易所凍結的 20 萬美元。

• 官方網站