作者：Conor / 來源：https://medium.com/web3labs/the-defi-dilemma-can-it-fulfil-i

翻譯：火火/白話區塊鏈
 

上周，DeFi 面臨一場危機，這次危機的對象是該生態系統的中堅力量之一 Curve Finance。

 

Curve 是一家領先的去中心化交易平臺，因其流動性池而受到許多 DeFi 用戶的歡迎，該流動性池使儲戶能夠從多種流行Token中賺取收益。這包括比特幣、以太幣和質押以太幣，例如 stETH 和 RETH。還有 USDC 和 USDT 等穩定幣。

Curve 如此受歡迎的原因是，除了賺取存款收益外，流動性提供者還可以通過 Curve 的治理Token CRV 大幅提高收入。

例如，Curve 最受歡迎的礦池 3pool 由 DAI、USDC 和 USDT 組成。池中的基本 APY 為 0.85%，但是，通過鎖定 CRV Token，可以將 CRV 獎勵從 0.94% 提高到 2.35%。

您可以通過Convex Finance進一步提高您的回報，并通過其 CVX Token賺取額外回報。

1、Curve 漏洞事件

上周，Curve 宣布其部分礦池存在重入漏洞。這是由舊版本 Vyper 編譯器的錯誤引起的。該漏洞允許攻擊者耗盡某些 Curve 池的資金。總共提取了約 6200 萬美元。

與 Solidity 一樣，Vyper 是以太坊的智能合約開發語言。Vyper 是僅次于 Solidity 的第二流行智能合約語言，基于廣泛使用的 Python 編程語言。然而，它負責確保DeFi 中不到 30 億美元的 TVL，而Solidity 中的 TVL 則超過 660 億美元。

圖表：DeFiLlama 

2、只有當潮水退去，你才知道誰在裸泳

Vyper 錯誤并不是唯一的問題。Curve 的創始人 Michael Egorov承諾在多個 DeFi 協議中占據 CRV 總市值的 34% 。

這意味著，如果 CRV 的Token開始暴跌到某個閾值以下，CRV 抵押品將開始涌入市場以清算頭寸。

為了穩定Curve，Tron區塊鏈創始人孫宇晨隨后介入購買CRV以幫助穩定價格。

正如 Bankless 的 Ryan 指出的那樣，CRV 潛在的拋售壓力很簡單，杠桿出了問題。

 

但人們確實應該關注誰持有與他們正在使用的 DeFi 協議相關的Token。以及這些持有人正在用它們做什么。

最終的結果是，Curve 這次似乎幸存了下來，但它確實凸顯了 DeFi 生態系統仍然面臨的明顯問題。

3、管理軟件漏洞

開發人員面臨著一場無休止的貓鼠游戲，惡意黑客試圖找到漏洞并利用他們的代碼。過去，這僅限于位于防火墻后面的企業系統，這些系統通常需要社會工程或松懈的安全實踐才能進入。

公共區塊鏈改變了這一點。在創建去中心化應用程序時，創建了巨大的加密貨幣蜜罐，供攻擊者集中精力。當公共區塊鏈網絡上有數億美元可用時，為什么要跨越所有障礙來利用機構呢？

任何花費大量時間作為開發人員或與開發人員一起工作的人都會意識到開發是多么耗時。沒有任何代碼是完美或完整的。總有一些方法可以改進或優化它。

這包括識別漏洞，這些漏洞在被發現之前通常會潛伏數年。2014 年的Heartbleed OpenSSL 漏洞就是這樣一個例子，該漏洞是由 2012 年對代碼庫進行的更改引起的。

據估計，在檢測到該漏洞時，有 17% 的網絡安全網絡服務器受到該漏洞的影響。該漏洞使攻擊者能夠檢索服務器上的加密密鑰并冒充其他人訪問它們。

4、奇偶校驗多重簽名

早在 2017 年，我們還看到 Parity Technologies 的多重簽名錢包被利用，數量達到 153037 以太幣（按今天的價格計算為 2.9 億美元）。這是由庫依賴項中的漏洞引起的。

此后的幾年里，還有無數的進一步的探索。

只是永遠不可能消除代碼中的錯誤。即使使用人工智能技術，因為底層的大語言模型 (LLM) 也是根據容易犯錯的人類創建的代碼進行訓練的。

我們能否達到讓 DeFi 真正發揮其潛力的程度？

我確實看到了我對生態系統充滿信心的領域，例如 Circle 的 USDC。然而，他們控制著Token的發行，并且其業務運營方式非常透明，包括提供其儲備的審計報告。

還有基礎網絡協議本身，例如以太坊。雖然我不認為即將發生任何可能威脅以太坊償付能力或整個以太坊網絡安全的事件，但正如 DAO 黑客事件所證明的那樣，有一些方法可以從重大事件中恢復（盡管以太坊社區中很少有人會這樣做）再次支持這種程度的干預）。

5、堆疊 DeFi App

我認為問題在于將應用程序堆疊到應用程序上并在多個 DeFi 應用程序中創建復雜頭寸的能力。

這是有人用 Curve 存入Token，將 CRV 存入 Convex 以提高收益率，并可能進一步鎖定他們的 CVX Token。Curve 可能是 DeFi 的中流砥柱之一。然而，隨著每增加一個 DeFi 協議的使用，用戶面臨的風險就會顯著增加。

在每個 DeFi 協議中，都會有一小部分真正了解其智能合約如何工作的開發人員。當您將多種協議組合在一起時，這個數字會變得更小。

這意味著極少數用戶知道他們的資金到底有多安全，而只是追逐廣告上的收益率。

團隊確實采取了一些措施，例如聘請審計員來幫助驗證他們的合同源代碼。但這些審計師是否會重新參與每一次變更？這些審計員是否持續監控所有依賴項的更新或漏洞？即使是這樣，一些漏洞仍然會被漏掉。

6、保護主流用戶

我相信，為了讓 DeFi 應用成為主流，我們需要為用戶提供更好的保護。這可能是以機構的形式出現的，這些機構擁有足夠的資本，可以在發生漏洞時為用戶帶來好處。或者只是為他們提供保險。

也許中心化交易平臺最終會成為許多人使用的網關？看看 Coinbase 的 Base 網絡在這方面如何發展將會非常有趣，因為他們將有能力在網絡中提供支持。

在過去的幾年里，DeFi 生態系統中鎖定的價值之大令人難以置信。然而，從個人角度來看，我仍然不愿意將任何有意義的資金投入到 DeFi 協議中，除非我能夠全天候監控我對它們所做的事情。

我對 USDC 和 ETH 等穩定幣的擔憂較少，因為它們的運作方式更加透明，不需要挖掘智能合約代碼。

如果在如何保護用戶資金方面沒有取得一些突破，我確實認為，對于那些真正了解自己在做什么的用戶來說，許多 DeFi 協議仍將是利基應用。尤其是現在，您可以將資金存入普通銀行，收益率為 4-5%，并有政府擔保。

我仍然一如既往地是區塊鏈和 web3 的熱心支持者。但 DeFi 的某些部分仍然感覺像是高風險的撲克游戲，而且我不是賭徒。

您對 Curve 漏洞有何看法？這是否讓您對將資金投入 DeFi 協議持謹慎態度？需要采取哪些措施來降低風險才能使 DeFi 應用成為主流？