作者:Andrew Thurman,blockworks 编译:善欧巴,金色财经
更智能的借贷市场和快速响应的白帽团队,在 Curve 漏洞之后改善了 DeFi 的安全状况
根据Rekt的全球漏洞利用损失排行榜数据,尽管在白帽和安全专家联盟设法追回了部分被盗资金之前,Curve黑客攻击仅勉强进入历史前30名。这对大多数观察者来说都更令人担忧。首先,Curve是一个著名的流动性协议,也是稳定币系统中至关重要的一部分。
7月30日(星期日),Curve团队至少两次表示已经缓解了黑客攻击的影响,但另一次攻击造成了数百万美元的损失,这无疑会引发人们的不安。
这次攻击对协议造成的损害可能是继Curve创始人Michael Egorov表达了多种DeFi立场之后的令人担忧的附带影响。
在黑客攻击之前,价值超过1.1亿美元的贷款突然变得脆弱,因为它们得到了Curve治理代币(CRV)和奖励代币的支持,而这些代币已经受到了严重的冲击。新闻报道本身着重分析了清算可能带来的后果,特别是Aave可能成为受害者的可能性。
然而,最终,一群实力雄厚(尽管可能不太可能)的买家介入了。他们通过场外交易购买了CRV,允许Egorov重新平衡并偿还巨额债务。截至撰写本文时,他的主要地址中的稳定币债务刚刚超过5000万美元,还有另外1800万美元的现货CRV可供部署。
自播客录制以来,叶戈罗夫的头寸健康状况有所改善,更多资金已经回流至协议,特别是Alchemix已经完全康复。
因此,我想补充一点,社区对黑客攻击和黑客攻击缓解措施的反应似乎达到了新的高峰,希望这种卓越的标准能够持续下去。
实际上,虽然有些人可能会指责我在Curve黑客事件尘埃落定之际过于理想化地看待次事件,但越来越多的人认为,尽管生态系统的旗舰产品之一遭受了多次成功的攻击,但DeFi将变得更加有弹性。这或许正是一个自相矛盾的协议。
我之前曾在Blockworks的Empire podcast的一个版本中权衡过随着时间推移,我们如何概念化这次黑客攻击的影响。在我看来,我们会因为其对贷款市场如何处理风险的影响而记住这一点,而不仅仅是因为损失的美元金额。
在漏洞发生后,贷款协议面临一个持续存在的问题:为什么允许Michael Egorov的头寸变得如此庞大并具有潜在风险?而更重要的问题是:应该追究谁的责任?
Euler创始人Michael Bently在Twitter上表示,这一事件说明了为什么DAO(由可能不够成熟的选民组成)在风险管理方面可能不是最佳选择的例子。实际上,与风险建模公司Gauntlet签订合同的Aave DAO在6月份的危机爆发前似乎忽视了风险评估人员的警告。最终,DAO决定保留Aave v2 CRV参数。
然而,Gearbox DAO的匿名贡献者Ivan Ngmi在接受Blockworks采访时表示,由于不同协议之间的相互依赖程度以及各自的治理代币价格,纯粹的程序化风险管理系统并不一定是最佳选择。Gearbox在几天内勉强避免了CRV/ETH矿池黑客攻击的影响。
他写道:“每个协议都必须考虑其他协议,考虑到可能的级联效应。如果这些协议是无政府状态,他们就无法改变任何事情,这就取决于这些协议的用户。”
CRV的情况有些特殊。在这种情况下,协议创始人控制着几乎所有代币的流通量,并在多个地方发放贷款并将这些代币用作抵押品。纯粹的链上治理难以检测或缓解这种情况。
然而,系统即使不完美,也可以得到增强。Aave-Chan Initiative创始人Marc Zeller在接受Blockworks采访时表示,一项新提案将在“一个季度”内逐步解决Egorov在v2中的地位问题。
他写道:“这个过程正在进行中,而CRV池的利用则加速了进展。”此外,Egorov重新平衡头寸的一个有益副作用是,锁定总价值(TVL)从风险参数尚未完全缓解的Aave v2流向借入上限,可以更好地限制超级用户在v3中的借入。
Zeller补充道:“最终,v2的总体风险现在降低了,v3的采用率增加了,因此净效果是积极的。”尽管如何完全解决用户控制代币供应的问题似乎没有明确答案,但至少在借贷市场中,风险管理正在以不同的方式进行。在联系到叶戈罗夫时,他拒绝置评,理由是他的职位正在进行管理。
“作战室”现象是指社区成员和志愿者与受黑客攻击的协议开发人员合作,试图减轻漏洞的影响,在许多最近成功的恢复中起到了关键作用。然而,这样的努力可能会充满复杂性。
两家安全公司,Blocksec和Supremacy,在Vyper编译器漏洞利用过程中发布详细信息后遭到社交媒体的严厉批评。OtterSec的Robert Chen在一篇精彩的博客文章中介绍了如何在短短几分钟内挫败了两个不同的白帽行动。在这次黑客攻击中,持续存在的漏洞导致了多次攻击,发布有关漏洞利用的信息可能会给潜在攻击者提供额外的信息,使他们能够超越白帽,从而导致进一步的损失。
然而,我对Blocksec表示同情,他们认为,由于无法与受影响的团队取得联系,向公众解释该缺陷以便用户可以提取资金是正确的道德选择。
最终,将适当的人引入作战室(而不引起潜在黑帽分子的注意)可能是一个棘手的“先有鸡还是先有蛋”的问题。在Curve事件之后,社区也许已经开发出了一种可能的解决方案。
多产的匿名Paradigm安全研究员samczsun宣布推出一个名为SEAL 911的“实验性”白帽响应服务。该服务由Telegram机器人组成,旨在将最近遭受黑客攻击的团队与一组安全专家和作战室老兵联系起来。Storm是匿名的Yearn贡献者,也是作战室的常客,他在接受Blockworks采访时表示,该服务旨在解决一个痛点,即将愿意为受影响团队提供帮助的专家与其联系起来。Storm也是SEAL 911小组的公开成员之一。
他写道:“在此之前,您的网络中需要有可靠的安全人员,以应对事件或紧急情况……希望这能为您提供一键式热线,与我们可以信任的经验丰富的安全研究人员联系。”
据Storm称,该服务已经被使用,因为基于Solana的Cypher协议的成员在该服务宣布后不久就于周一联系了SEAL 911成员。
更重要的是,SEAL 911的到来正值白帽响应可能达到最高效率水平的时候。自从欧拉黑客事件返还资金以来,谈判代表们一直在确保从漏洞中返还资金。
7月30日,Curve矿池被抽走7100万美元。截至目前,其中75%的金额已通过白帽操作和谈判收回。只有一名剥削者仍然持有资金——甚至他们也面临着社区赏金形式的越来越大的压力。
对于那些在黑客攻击最糟糕的时刻感到陷入困境的储户来说,这可能并没有多少安慰。但在协议改进和安全社区内部的团结时刻之间,Curve攻击之后的DeFi生态系统似乎比以前更健康。
来源:金色财经