原文标题:《IOSG Weekly Brief | Curve 能否超越 Uniswap V3? #94》撰文:IOSG Ventures
在过去的 DeFi 之夏中,DeFi 协议都聚焦在各自的利基市场。Uniswap 利用其恒定的产品曲线来占领现货市场,但是 Curve 则是通过集中供应流动性来交易稳定币。
Uniswap v2 vs Curve: 流动性范围 & 深度;来源 : BlackHoleSwap Whitepaper
而 Uniswap v3 的发布改变了这个现状。在一定程度上,v3 是订单簿形式和 AMM 机制的集合。在 v3 里,被动的流动性提供者变成主动的做市商。这就给交易各种形式的资产带来可能,从 altcoin,随着时间衰减的资产(例如:利率衍生品,期权等),到稳定币等等。
Beosin:ULME代币项目遭受黑客攻击事件简析:金色财经报道,10月25日,据Beosin EagleEye 安全预警与监控平台检测显示,ULME代币项目被黑客攻击,目前造成50646 BUSD损失,黑客首先利用闪电贷借出BUSD,由于用户前面给ULME合约授权,攻击者遍历了对合约进行授权的地址,然后批量转出已授权用户的BUSD到合约中,提高价格ULME价格,然后黑客卖掉之前闪电贷借出的ULME,赚取BUSD,归还闪电贷获利离场。Beosin安全团队建议用户用户取消BUSD对ULME合约的授权并及时转移资金减少损失。[2022/10/25 16:38:21]
当 Uniswap 宣布进入稳定币市场的不久后,Curve Finance,一个专注于稳定币兑换的协议发布了 v2 版本的白皮书,提出了一种新的 AMM 机制,其结合了集中的流动性和非稳定币资产的被动流动性 。
安全团队:获利约900万美元,Moola协议遭受黑客攻击事件简析:10月19日消息,据Beosin EagleEye Web3安全预警与监控平台监测显示,Celo上的Moola协议遭受攻击,黑客获利约900万美元。Beosin安全团队第一时间对事件进行了分析,结果如下:
第一步:攻击者进行了多笔交易,用CELO买入MOO,攻击者起始资金(182000枚CELO).
第二步:攻击者使用MOO作为抵押品借出CELO。根据抵押借贷的常见逻辑,攻击者抵押了价值a的MOO,可借出价值b的CELO。
第三步:攻击者用贷出的CELO购买MOO,从而继续提高MOO的价格。每次交换之后,Moo对应CELO的价格变高。
第四步:由于抵押借贷合约在借出时会使用交易对中的实时价格进行判断,导致用户之前的借贷数量,并未达到价值b,所以用户可以继续借出CELO。通过不断重复这个过程,攻击者把MOO的价格从0.02 CELO提高到0.73 CELO。
第五步:攻击者进行了累计4次抵押MOO,10次swap(CELO换MOO),28次借贷,达到获利过程。
本次遭受攻击的抵押借贷实现合约并未开源,根据攻击特征可以猜测攻击属于价格操纵攻击。截止发文时,通过Beosin Trace追踪发现攻击者将约93.1%的所得资金 返还给了Moola Market项目方,将50万CELO 捐给了impact market。自己留下了总计65万个CELO作为赏金。[2022/10/19 17:32:31]
慢雾:跨链互操作协议Nomad桥攻击事件简析:金色财经消息,据慢雾区消息,跨链互操作协议Nomad桥遭受黑客攻击,导致资金被非预期的取出。慢雾安全团队分析如下:
1. 在Nomad的Replica合约中,用户可以通过send函数发起跨链交易,并在目标链上通过process函数进行执行。在进行process操作时会通过acceptableRoot检查用户提交的消息必须属于是可接受的根,其会在prove中被设置。因此用户必须提交有效的消息才可进行操作。
2. 项目方在进行Replica合约部署初始化时,先将可信根设置为0,随后又通过update函数对可信根设置为正常非0数据。Replica合约中会通过confirmAt映射保存可信根开始生效的时间以便在acceptableRoot中检查消息根是否有效。但在update新根时却并未将旧的根的confirmAt设置为0,这将导致虽然合约中可信根改变了但旧的根仍然在生效状态。
3. 因此攻击者可以直接构造任意消息,由于未经过prove因此此消息映射返回的根是0,而项目方由于在初始化时将0设置为可信根且其并未随着可信根的修改而失效,导致了攻击者任意构造的消息可以正常执行,从而窃取Nomad桥的资产。
综上,本次攻击是由于Nomad桥Replica合约在初始化时可信根被设置为0x0,且在进行可信根修改时并未将旧根失效,导致了攻击可以构造任意消息对桥进行资金窃取。[2022/8/2 2:52:59]
来源 :https://curve.fi/files/crypto-pools-paper.pdf;Dashed line – Uniswap v2, blue line – Curve v1, orange line – Curve v2
慢雾:Inverse Finance遭遇闪电贷攻击简析:据慢雾安全团队链上情报,Inverse Finance遭遇闪电贷攻击,损失53.2445WBTC和99,976.29USDT。慢雾安全团队以简讯的形式将攻击原理分享如下:
1.攻击者先从AAVE闪电贷借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子获得5,375.5个crv3crypto和4,906.7yvCurve-3Crypto,随后攻击者把获得的2个凭证存入Inverse Finance获得245,337.73个存款凭证anYvCrv3Crypto。
2.接下来攻击者在CurveUSDT-WETH-WBTC的池子进行了一次swap,用26,775个WBTC兑换出了75,403,376.18USDT,由于anYvCrv3Crypto的存款凭证使用的价格计算合约除了采用Chainlink的喂价之外还会根据CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的实时余额变化进行计算所以在攻击者进行swap之后anYvCrv3Crypto的价格被拉高从而导致攻击者可以从合约中借出超额的10,133,949.1个DOLA。
3.借贷完DOLA之后攻击者在把第二步获取的75,403,376.18USDT再次swap成26,626.4个WBTC,攻击者在把10,133,949.1DOLAswap成9,881,355个3crv,之后攻击者通过移除3crv的流动性获得10,099,976.2个USDT。
4.最后攻击者把去除流动性的10,000,000个USDTswap成451.0个WBT,归还闪电贷获利离场。
针对该事件,慢雾给出以下防范建议:本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/6/16 4:32:58]
Curve V1 的联合曲线(bonding curve)结合了恒定产品(XYK)和恒定的价格不变量,所以其价格滑点基本为 0。
事实上,在中间价格区间,蓝线是线性的,表明没有滑点。在远离中间价格的区域,曲线偏离线性形状,流动性急剧下降。也就是说,只有当大量流动性从池中取出时,定价曲线才会变成抛物线。
如果我们将 Curve V1 机制应用到非稳定币交易中,存入的资产会骤减。具体来说,Curve 的联合曲线依靠存入的资产来稳定价格。如果存款价格上升幅度大于资金池价格的滑点,资产很快就会流失。比如,资金池有 token A 和 token B ,50 比 50,各自价格开始都是 1 美元。如果 token A 在外界市场的价格增加 5%,即 1.05 美元,套利者会买入资产池的 token A。而滑点只有 1% 的情况下,直到 token A 在市场和 AMM 中的价格再次相等之前,token A 数量都会持续减少。
Curve v2 则继承了 v1 的一些特性,如上图所示,线性的形状也围绕着中间的价格。然而,为了解决以上的问题,Curve v2 也引入了额外的特性,如加入了内部预言机,持续为 AMM 提供其变化的中间价格,这就为流动性提供者控制了风险。
Curve v2 目前只有一个池 — Tricrypto2,池里包含 USDT, wBTC 和 wETH。到目前为止,Tricrypto 还没有引起太多的注意,仅 99 个地址与其产生过交互。
近来,Curve v2 的交易量一直呈上升趋势。若将过去 30 天的数据年化,交易量大约为 $22B 一年。
来源 :https://dune.xyz/momir/Curve-v2
如上图所示,大部分交易量来自被称为「精英交易者」的地址,其余交易量仅来自聚合器,几乎没有普通用户参与。
用 Uniswap 的总体表现来与 Curve v2 相比是没有意义的,因为 Uniswap v3 是无需许可的并且可以支持无限数量的流动性池。因此,我们将 Uniswap v3 的 wETH/wBTC、wETH/USDT 和 wBTC/USDT 池作为基准来对比 Curve v2 Tricrypto 池(ETH、BTC、USDT 池)。
来源 :https://dune.xyz/momir/Curve-v2
Uniswap v3 池的各项数据都占优势。v3 流动性池通常每天有 200 多个用户,而 Curve Tricrypto 每天只有大约 10 个地址与之交互。同样,Curve Tricrypto 的交易量最多也只有 Uniswap v3 对应的池交易量的 30%。
截至目前,套利者和聚合器正在某种程度上弥补 Curve 用户的不足的问题,然而,Curve 想要真正挑战 Uniswap 的主导地位,可能需要改善用户体验并瞄准更主流的受众。
此外,Curve 必须找到能包含更多样化的资产产品的方式,并最终允许无需许可地推出新代币。
尽管如此,这两个项目都是创新 DeFi 领域的领头羊,两者之间的竞争只会为使用非托管交易所的用户带来好处,即更低的滑点和交易费用。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。