非小号百科

Curve Finance

於 2024年11月29日 (五) 03:07 由 Doge對話 | 貢獻 所做的修訂

Curve Finance是一個去中心化的加密貨幣交易所(DEX),類似於 Uniswap。Uniswap 允許您交換任何ERC-20代幣(前提是有流動性),而 Curve 允許您在以太坊區塊鏈上交易ERC-20穩定幣。Curve 是 DeFi 領先的 AMM(自動做市商)。 擁有數百個流動性池,並由 Curve 的 CurveDAO 提供流動性池的加密貨幣激勵獎勵使用。 用戶依靠 Curve 的專有公式在 ERC-20 代幣之間進行高流動性、低滑點、低費用的交易[1]。截至2024年11月,Curve 的總價值鎖倉(TVL)約為 17.74 億美元,位居所有去中心化交易所的第四位[2]

發展歷程

  • 2019年,Curve Finance 是由在三藩市的計算機安全公司CTO,軟件工程師 Michael Egorov 開發。
  • 2020年1月,最初名為 StableSwap,正式發佈更名為 Curve Finance。
  • 2021年6月,Curve 發佈了其版本2(Curve V2),引入了名為 TriCrypto 的流動性池,實現了ETH、BTC等穩定資產的交換,而不僅僅是穩定幣的交換。
  • 2023年7月,Curve 遭遇了黑客攻擊,利用Vyper編程語言的漏洞,約4600萬美元的ETH和CRV被盜。黑客聲稱其行為是「為了項目救濟,並無惡意,作為白帽黑客已將資產追回」,並通過部分返還並要求獎勵的方式,避免了法律追責[3]
  • 2023年7月31日,Curve Finance 發文稱,由於遞歸鎖出現故障,許多使用Vyper 0.2.15的穩定幣池(alETH/msETH/pETH)遭到攻擊。受攻擊事件影響,Curve DAO的原生代幣CRV價格一度跌至0.59美元[4]
  • 2023年9月27日,據 Lookonchain 監測,Curve 創始人 Michael Egorov 已償還 Aave 上所有債務[5]
  • 2023年12月13日,Conic Finance 社區提案顯示,Conic Finance 計劃推出 v2 版本,將在兩天後啟動三次投票,這些投票將決定 Conic Omnipools 如何重新發佈[6]
  • 2024年3月12日,Curve Finance 宣佈其借貸平台 Curve Lend(即 LlamaLend)已上線,目前有 3 個多頭市場和 1 個空頭市場[7]
  • 2024年6月13日,根據餘燼推文表示,Curve創始人 Michael Egorov 在多個平台上的 CRV 借貸倉位已經跌破清算線,其中在Inverse Finance上的主要地址部分CRV正在被清算[8]
  • 2024年6月28日,據Cointelegraph報道,Curve Finance已改變其費用分配機制,從3crv代幣過渡到其原生穩定幣crvUSD。此舉旨在提高crvUSD的實用性,將穩定幣整合到Curve Finance生態系統中以激勵用戶。過渡到crvUSD意味着用戶現在將以美元計價的穩定幣獲得費用[9]
  • 2024年9月17日,TON 基金會宣佈與去中心化交易平台 Curve Finance 建立合作夥伴關係。本次合作將孵化一個基於 TON 的新穩定幣兌換項目,旨在簡化穩定幣交易、提高流動性並增強 TON 上的 DeFi 體驗[10]

技術細節

Curve Finance 引入了名為 StableSwap 的自動化做市商(AMM)機制,專門用於穩定幣之間的交換,或類似 stETH/ETH 這樣的等價資產流動性池。

在 Uniswap 開發的傳統 AMM 中,遵循 「xy=常數」 的原則,這意味着每當交易發生時,價格會發生變化,導致一定的滑點(slippage)。因此,Uniswap 的 AMM 機制並不適合用於創建像穩定幣之間這種價值接近或等同的流動性池。

StableSwap 則通過將 「xy=常數」「x+y=常數」 這兩種曲線結合,來優化交易。具體來說,StableSwap 機制在市場供需平衡不被大幅打破的情況下,維持 「x+y=常數」 作為流動性池的操作方式,從而大幅降低滑點(slippage)。只有當市場的供需關係發生顯著偏離時,StableSwap 才會轉換為類似 Uniswap 的 「xy=常數」 機制,出現價格波動和滑點[11]

因此,其他去中心化交易所(如 Uniswap 和 PancakeSwap)在進行穩定幣之間的交換時,也可能利用 Curve Finance 的 StableSwap 機制,優化交易效率,減少滑點。

該協議是跨鏈可用的,支持以太坊ArbitrumAuroraAvalancheFantomHarmonyOptimismPolygon、xDai 和 Moonbeam 等鏈。用戶通常需要將資金從以太坊橋接到這些鏈上,以使用 Curve 協議。

相關爭議

2024年6月30日,Christian 回應了社區用戶質疑 Curve 創始人疑似場外出售 40 萬 USDT 的 CRV,導致價格下跌的指控,並解釋了下跌的原因是其他巨鯨的活動[12]

相關事件

DNS 劫持攻擊

2022年8月10日,Curve Finance 突遭 DNS 劫持攻擊。攻擊發生之後,Curve 發推確認 Curve.fi 域名伺服器遭到盜用,警告用戶撤銷 Curve 上的 0x9eb5f8e83359bb5013f3d8eee60bdce5654e8881 合約,暫時使用 curve.exchange[13]

2022年8月10日,幣安創始人趙長鵬就 Curve 被黑客盜竊事件發推特表示:Curve 使用 GoDaddy 作為 DNS 是不安全的,任何 Web3 項目都不應該使用它,因為它非常容易受到社會工程的影響。

本次 Curve Finance 遭遇了 DNS 劫持攻擊,是由於域名註冊商 iwantmyname.com 的系統遭到破壞,curve 的 name server 被篡改成黑客控制的 dns server,curve.fi 的流量被重定向到黑客的伺服器 5.199.174.23887.120.37.46

同時,攻擊者部署的惡意 dns server 就是那兩個惡意網頁伺服器的 ip,大概在那上面同時設有dns 和網頁的服務,因而導致不知情的 curve.fi 用戶被黑客控制的 0x9eb5f8e83359bb5013f3d8eee60bdce5654e8881 的惡意合約互動。

鏈上數據顯示,與該漏洞相關的惡意合約似乎已經從八個不同的受害者那裏竊取 USDC 和 DAI。這些資金已經轉移到攻擊者的錢包並換成了 ETH 代幣,然後被發送到加密貨幣交易所 FixedFloat。

Curve 黑客地址 0x50f9202e0f1c1577822BD67193960B213CD2f331 已經通過 Tornado Cash 轉移了資金,該混幣器平台才受到美國財政部的制裁。本次事件導致的總損失約為 77 萬美元,其中包括被FixedFloat交易所凍結的 20 萬美元。

Vyper 漏洞攻擊

2023年7月30日,因 Vyper 部分版本(0.2.15、0.2.16和0.3.0)存在功能失效的遞歸鎖漏洞,Curve穩定幣池alETH/msETH/pETH遭遇攻擊。受Curve部分穩定幣池攻擊事件影響,Alchemix、JPEG'd、Metronome、deBridge 和 Ellipsis 累計損失約為7000萬美元:

  • Alchemix:7259枚ETH和4821枚alETH(約 2200萬美元);
  • JPEG'd:6106枚ETH (約1140萬美元);
  • Metronome:866.554枚ETH (約160萬美元),955枚smETH(約170萬美元);
  • CRV-ETH pool: 1.05 萬枚 ETH(約 1940 萬美元), 719 萬枚 CRV(約 440 萬美元)。

7月31日,Curve Finance總鎖倉量(TVL)已由7月30日的32.66億美元降至 18.69億美元,24 小時降幅為42.78%,CRV價格24小時跌幅為14.89%。CRV 價格下跌走勢迫使 Curve 創始人 Michael Egorov 在 Aave 上的7000萬美元借款頭寸面臨清算風險。鑑於此,Egorov 通過OTC出售CRV,換得資金來還貸款。自8月1日開始 OTC 出售以來,截止8月6日,Egorov 已累計向30家投資者/機構出售了1.4265億枚CRV ,換得資金5706萬美元。

8月6日,Egorov 在四個平台上仍抵押 2.698 億枚 CRV(約合 1.66 億美元),債務規模約為 4870 萬美元。

9月27日,據 Lookonchain 監測,Curve 創始人 Michael Egorov 已償還 Aave 上所有債務[5]

11月6日,Curve 發文稱,7月底受到幾個Curve池黑客攻擊影響的用戶需檢查GitHub存儲庫,查找地址並檢查數據是否準確。該存儲庫記錄因Vyper攻擊而遭受損失的用戶地址和損失資金恢復比例,Curve之後將依賴這些數據進行操作[14]

攻擊者歸還資金

7月30日,漏洞利用者 coffeebabe.eth將786枚ETH(145 萬美元)和955枚smETH(174萬美元)歸還給Metronome,將 2879枚ETH(536萬美元)歸還給Curve Finance;

8月3日,Curve基金會向漏洞利用者發送了鏈上消息,如果攻擊者在 8 月 6 日上午 8 點(UTC)之前歸還剩餘的90%,將獲得被盜資金的10%作為賞金;

8月4日,攻擊者0x6ec向JPEG'd歸還了 5495枚WETH (1000萬美元) 並保留了610枚ETH (110萬美元) 作為 10% 賞金;攻擊者0xdce向 AlchemixFi 返還 2258枚ETH (415 萬美元) 和 4820枚alETH (882 萬美元);

8月5日,0xdce向AlchemixFi返還 4999 枚ETH(918 萬美元),已全部返還;

8月6日,32%的被盜資產(約 1870 萬美元)尚未歸還:

  • 來自 MetronomeDAO(由 coffeebabe.eth 保管)的 80枚 ETH(1.47 萬美元);
  • 來自 CRV-ETH 池的 7681枚ETH(1440 萬美元)和 719萬枚 CRV(443萬美元)。

8月7日,Curve Finance發推稱,CRV/ETH漏洞攻擊者自願歸還資金的截止日期已過,將提供賞金對任何提供導致黑客被捕和定罪信息的人的報酬(目前為185萬美元)[15]

外部連結

參考連結

  1. https://resources.curve.fi/
  2. Dexes TVL Rankings - DefiLlama
  3. 清算約1億枚 CRV,Curve的危機已經過去了嗎? - PANews
  4. X 上的 Curve Finance A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock.
  5. 5.0 5.1 X 上的 Lookonchain Michael Egorov deposited 68M $CRV ($35.5M) to #Silo and borrowed 10.77M $crvUSD in the past 2 days.
  6. Return of the Coneheads - Proposals - Conic Finance
  7. X 上的 Curve Finance Curve Lend (aka LlamaLend) is up!
  8. X 上的 餘燼 Curve 創始人的 CRV 借貸倉位已經開始清算了。
  9. Curve Finance adopts crvUSD for fee distribution
  10. X 上的 TON TON Foundation collaborates with @CurveFinance to incubate a new stable swap project on #TON!
  11. Curve · GitHub
  12. X 上的 Christian2022.eth 四十萬U不是買CRV的,是買了鎖住的CVX。
  13. Curve Finance突遭DNS劫持攻擊!
  14. X 上的 Curve Finance please check this repository.
  15. Curve風波告一段落,扒一扒關鍵利益團體的資金動向 - PANews
取自 "https://zh.feixiaohao.wiki/index.php?title=Curve_Finance&oldid=244"