Curve 被攻击后：DeFi 的下一步是什么？

DeFi 继续朝向新的方向前进，挫折不会阻止它停下。

撰文：Daniel Kuhn

编译：Block unicorn

在开发者正在讨论改变现有 AMM 流动性模型的时候，包括 Curve 在内的主要平台在上周末遭遇了 7000 万美元的利益攻击。

去中心化金融（DeFi）因最近几个关键平台在上周日遭受一系列攻击而陷入困境。据 MetaMask 开发者 Taylor Monahan 的估计，上个周末总共被盗走了约 7000 万美元，包括来自 Curve Finance（这是最常用、影响力最大的去中心化交易所）。Alchemix（借贷协议）、Pendle（收益平台）和 Metronome（合成资产工具）也都被攻击，还有去中心化的 NFT 协议 JPEG 也在袭击之列。

作为回应，DeFi 贷款人开始从包括 Aave 在内的其他 DeFi 平台撤资，造成了金融子行业中的借款费用飙升，根据 The Defiant 的报道。

事情无疑可能会更糟糕，有点讽刺的是，白帽黑客能够从 Curve 的几个借贷池中提取资产，以防止它们被盗。此外，在总共五次恶意攻击中，有三次显然是被 MEV（最大可提取价值）专家「提前行动」的。MEV 是公共区块链运作中有争议但无法阻止的一个方面，它允许第三方和自动化机器搜索并重新排序在 mempool（内存池）中等待确认的交易，以获取利润。

Coffeebabe.eth 负责通过在交易前运行交易来撤销了至少两起恶意攻击，这些攻击可能是由多名无关的黑客所为。Chainlink，这个链上数据提供商（也称为「预言机」系统），也因在攻击中阻止了整个行业范围内的抵押品损失而受到一些赞扬，但似乎是通过一种迂回的方式。ChainlinkGod 在推特上表示：「如果像 Aave 这样的平台或其他 DeFi 借贷协议将（现在已经被耗尽的）CRV/ETH Curve 池用作链上预言机，它们将遭受巨大的坏账损失。」这话很正确，但也许是一个同义反复。

这些攻击的性质显然源于一种名为 Vyper 的编程语言中存在的漏洞，该语言专门用于在以太坊上启动智能合约。该编程语言的核心团队——由 Curve 团队支持——宣布较旧版本的 Vyper 容易受到「重入」攻击的影响。尽管 Vyper 的代表已经表示使用 0.2.15、0.2.16、0.3.0 版本的项目应该寻求帮助，要真正理解出了什么问题可能需要花费几天、几周甚至几个月的时间。

在加密世界中的黑客攻击，并不完全像其他领域的黑客攻击。攻击者返还被盗资金的情况越来越普遍，这些资金在本质上总是可在区块链上追踪的，这可能使得人们非常难以花掉被污染的钱或在全世界知道的情况下在任何地方兑现。你可能会以为这意味着在加密世界中攻击会更少——但显然并非如此。就在今天，安全审计公司 CertiK 声称，仅在 2023 年 7 月，加密用户就因为漏洞失去了至少 3.03 亿美元。

虽然攻击的技术方面仍在解决中，总体影响还未知，但可能至少有一个明确的启示。在最受欢迎的去中心化交易所 Uniswap 团队发布新产品 UniswapX 的消息公布后的几天里，有关 DEX 未来的讨论接连不断。UniswapX 本质上将使用链下机制执行交易，从而节省 Uniswap 用户的交易手续费。显然，世界正在朝这个方向移动：Cowswap、0x 以及一批包括现在的 UniswapX 在内协议的「最佳执行」模型，都在未来将某些方面的交易转移到链下执行。

在某种程度上，这个勇敢的新加密交易世界是有道理的。在任何需要竞争者创新以吸引用户的市场中，成本总是会趋向于零。加密交易者也已经表明，他们往往愿意为了获得更好的价格、更快的交易或者只是一个优势——也就是把一些交易过程交给一种假定是对自己有利的专有交易算法来处理——而牺牲一些完全链上加密的保障。在最近的播客节目《The Chopping Block》中，这些问题都得到了讨论。

但是，考虑到最近 DeFi 领域的这个挫折，即使在链上进行的交易执行显然可能出现严重问题，是否要削弱区块链为商业带来的唯一好处：不可变性和透明性，是否似乎是一个过大的风险呢？我不知道区块链的未来会是什么样子，但我越来越多地听到，它不会像我们熟悉的 AMM（自动化市场制造商）的世界那样，而是会更加程序化和自动化。也许这会实现，但你会认为人们应该首先解决加密领域的问题。