#暑期创作大赛#
冲哥笑谈Web3,每天提升一点点!
你好,我是冲哥,这里是“冲哥笑谈Web3”。
Curve
协议这两天又出事了。
上一次冲哥谈起Curve,还是5月份他创始人Michael豪掷
4000
万美金购买超级豪宅,享受生活呢。
感兴趣的老铁们,可以观看往期文章:
我是如何在十分钟之内消费一辆CRV的!
这一次由于DeFi 行业的底层根基——以太坊编程语言 的特定版本,存在有Bug,导致Curve的四个资金池资金被盗;
由于
Curve
创始人将巨量
CRV
作为抵押品在多个借贷平台上进行借款,也使得
CRV
陷入了潜在的清算危机。
CRV
的清算压力不仅是借款人的,也是借贷平台的。现在所有借贷平台都明白这笔借贷就是一颗定时炸弹,如果处理不当,便会造成平台坏账或者影响平台其他用户资产。
本次被盗的资金体量虽然只有几千万,并不是太大,但是被盗原因,却是编程语音的底层出现了漏洞而导致。
DeFi 之前的多次被盗,基本上都是项目方的自身合约编写存在bug,而这次问题却出现在大楼的根基上,这可就要了老命了!
这不就是沙滩上建的大楼吗?
这次危机,是对整个DeFi行业底层的技术,产生了信任危机,其影响力不亚于FTX爆雷。
冲哥下面来为大家来做一一梳理!
重入锁漏洞
重入锁问题就像双花一样,客户的钱能反复取和反复花,这历来是金融行业需要杜绝的最基本的安全问题。
那啥是重入锁?
举例:一家银行里存有
10
万现金。但这家银行有一个很大的漏洞,每当人们取钱时,银行工作人员并不立即更新账户余额,而是等到一天结束时才进行核对和更新。这时有人发现了这个漏洞,他在银行开了一个账户,先存入
1000
元,然后取出
1000
元,过
5
分钟再取出
1000
元。由于银行没有实时更新余额,系统默认他的账户还有
1000
元。通过反复操作,最终该用户取出了银行里全部的
10
万美元现金。到这天结束时银行才能发现!
所以,传统金融行业,都会设置重入锁,你只要取了钱,中央账本就及时记账,你的账户余额也会发生及时变化。
可是,在DeFi(去中心化金融)里,重入攻击的复杂性在于它利用了合约之间相互调用的特性,以及合约自身的逻辑漏洞,通过故意触发异常等来实现攻击和盗取资金。
- 所以,DeFi 里普遍防止重入攻击的解决方案,就是提前设置一段针对性的特殊代码内容进行防护,用这样的保护机制来确保资金安全,这就是
重入锁
。
就像“三体”里,基础物理学不存在了,摧毁的是文明的信心。
各位老铁,如果整个DeFi 行业编写重入锁的底层基础语言,出现漏洞,
人们还会对去中心化金融有信心吗?
中心化的报价拯救了去中心化金融
本次攻击导致
CRV
链上价格曾瞬间被暴跌至
0.08
美金附近,幸运的是,由于链上预言机
Chainlink
的喂价,是参考中心化交易所的,所以预言机所报出的最低价格仍为
0.59
美元。
而作为当前业内最常用的预言机服务,这一报价差异,帮助
Curve
、
Aave
乃至整个
DeFi
行业避开了一场更大的灾祸。在社区讨论中,
有人将 Chainlink 今晨的报价操作类比为 “312” 时“拔网线”。间接阻止了整个市场被连环清算,因而被许多人戏称是在“拯救行业”。
虽然,采用中心化数据作为报价源在
DeFi
世界内显得不那么
去中心化,但就目前的市场状况来看,
CEX
较
DEX
依然有着更全面、更稳定的报价(尤其是对山寨币)。
所以,老铁们,去中心化只是手段,从来并不是我们追求的终极目的。
欧易(OKX)
用戶喜愛的交易所
币安(Binance)
已有账号登陆后会弹出下载