損失が5000万を超え、創業者が豪邸を購入し詐欺で訴えられた「水逆期」のCurveに救いはあるのか？

著者：西柚，ChainCatcher

今日、Curveプラットフォームの資金プールが攻撃され、暗号市場のヘッドラインニュースとなりました。現在までに、Curveプラットフォーム上の資金プールの損失は5200万ドルに達しています。

7月31日、DeFiLlamaのデータによると、Curveプラットフォームでロックされている暗号資産の価値は17億ドルで、2021年1月以来の新低値を記録しました。24時間以内に資産規模は約50%縮小し、DeFiアプリケーションにおけるTVLランキングはトップ10から外れ、現在は11位です。

Curveの攻撃事件は一連の連鎖反応を引き起こし、複数のDeFiアプリケーションが影響を受けました。また、CRVトークンの価格の激しい変動は潜在的なオンチェーン清算危機を隠しています。その中で、貸出プラットフォームAaveはCRVの借入機能を無効にし、ユーザーは悪意のある空売りを防ぐためにCRVを借りることを防ぐためだと推測しています。一方、韓国の取引所UpbitはCRVの価格変動が大きいため、CRVトークンの入出金を一時停止しました。

これはCurveにとって非常に暗い時期であり、前回のように無事に難関を乗り越えられるのでしょうか？

攻撃事件は複数のDeFiアプリケーションに影響を与え、他にどんな潜在的リスクがあるのか？

現在、Curveの公式ウェブサイトを開くと、最初に目に入るのはVyperの脆弱性に関する資金プールの安全警告です：Vyperの再入ロックの故障により、Vyper 0.2.15、0.2.16、0.3.0を使用している資金プールが攻撃され、これらの資金プールの流動性は枯渇しています。チームは影響を受けた状況を評価しています。影響を受けた資金プールにはalETH/ETH、msETH/ETH、pETH/ETH、CRV/ETHが含まれ、その他の資金プールは影響を受けていません。

Curveの資金プール攻撃事件は複数のDeFiアプリケーションに影響を与えています。派盾の監視統計によると、現在までにこの攻撃による累積損失は約5200万ドルです。

その中で、NFT貸出プロトコルJPEG'dが発行したpETHはCurve上で構成されたpETH-ETHプールで約1100万ドルの損失を被り、pETHの価格は862ドルに脱ペッグしました。DeFi貸出プロトコルAlchemixのalETH-ETHプールは攻撃を受けて約1300万ドルの損失を被り、現在のalETHの価格は1246ドルで、依然として脱ペッグ状態です。DeFi合成資産プロトコルMetronomeDAOのmsETH/ETHプールは約160万ドルが盗まれ、Metronomeメインネット機能が停止しました。Curve上のCRV/ETH資金プールは盗まれた資金が1000万ドルを超え、DEXプラットフォームEllipsisは6.8万ドルの損失を被り、クロスチェーンアプリケーションdeBridgeは2.4万ドルの損失を出しました。

同時に、CurveのネイティブトークンCRVの価格はオンチェーンで激しい変動を示し、UniswapでのCRV/WETH取引ペアは短時間（7月31日3時頃）で0.03ドルにまで下落し、ほぼゼロに近づきました。現在の価格は約0.63ドルに回復しています。

今日、韓国最大の取引所Upbitは、Curveの一部のステーブルコインプールが攻撃されたため、CRVのボラティリティが大きくなり、Curve（CRV）の入金と出金サービスを一時停止したと発表しました。

CRVの価格の激しい変動は常にユーザーの心を引きつけています。なぜなら、オンチェーンには大量のCRV担保ポジションが存在し、CRVの価格が一定の水準を下回ると、大量のCRVが清算の危機にさらされるからです。これはしばしば資産にデススパイラルを引き起こします。

中でも最も注目されているのは、Curveの創設者Michael Egorovのポジションです。ユーザーは彼が保有する巨額のCRVポジションが清算されるかどうか、そしてそれが引き起こす連鎖反応を心配しています。

研究者0xLokiのツイートによると、Michael EgorovはAave、FRAXlend、Abracadabr、Inverseなどの貸出プラットフォームで合計2.92億枚のCRVを担保に入れており、その価値は1.81億ドルで、1.1億ドルの資金を借りています。彼の総合清算価格は約0.4ドルです。

その中で、Aaveのポジションが最大で、1.9億CRVを担保に入れ、6500万ドルを借りており、清算価格は0.37ドルです。次にFRAXlendで4600万CRVを担保に入れ、2100万FRAXを借りており、清算価格は0.4ドルです。Abracadabrでは4000万CRVを預け、1800万ドルを借りており、清算価格は0.39ドルです。Inverseでは1600万CRVを預け、700万ドルを借りており、清算価格は0.4ドルです。

もしCRVが0.4ドルを下回れば、3億枚のCRVがすべて清算されることになります。

しかし、オンチェーンの価格を見るとCRVは一時0.03ドルにまで下落しましたが、なぜCRVのポジションが清算されなかったのでしょうか？これは主に、貸出プロトコルが多くの場合Chainlinkオラクルを使用して価格を提供しているためです。Chainlinkの価格提供メカニズムは、単一のオンチェーンデータや特定のDEXに基づくものではなく、オンチェーン（DEX）とオフチェーン（CEX）のデータを加重平均した価格を使用しています。

今回のCRVの場合、CEXのBinanceやOKXでは価格が0.03ドルには達しておらず、Chainlinkは0.03ドルを提供することはありません。むしろ、加重平均された価格で、データによるとChainlinkの最低価格は0.59ドルです。

Chainlinkの価格提供メカニズムの違いにより、CRVは短期間のオンチェーン異常価格に直面しても、担保ポジションが清算されることはありませんでした。

現在、AaveはCRVの借入機能を無効にしており、ユーザーは取引者がCurveの脆弱性事件を利用してパニックを引き起こし、CRVを借りて悪意のある空売りを行い、連鎖清算を促進することを防ぐためだと推測しています。現在、Aaveには約2.91億枚のCRVが供給されており、その約95%はCurveの創設者Michael Egorovからのものです。過去数時間の間に、創設者は徐々に一部の債務を返済し、CRVの担保を増やしています。

イーサリアム 契約言語Vyper の脆弱性が 攻撃を引き起こす

Curveの今回の攻撃事件は非常に広範囲に及び、ユーザーの関心も非常に高いです。しかし、幸いなことに、Curveがハッカーに攻撃されたのは自身の契約の脆弱性によるものではなく、基盤となるイーサリアムのスマートコントラクトプログラミング言語に問題があったためです。

Curveの安定プールが攻撃された後、7月31日、イーサリアムプログラミング言語Vyperは、Vyper 0.2.15、0.2.16、0.3.0バージョンの再入ロックが無効であるとツイートしました。Curveで攻撃を受けた資金プール（alETH/msETH/pETH）はVyper 0.2.15を使用してデプロイされています。

VyperはPython系のイーサリアムスマートコントラクト開発言語で、2017年に作成されました。現在一般的に使用されているイーサリアムスマートコントラクトの記述に使われるSolidityと比較して、この言語はPython系の言語に慣れた開発者にとってはより扱いやすいです。イーサリアムの創設者Vitalikは、Vyperが静かにより進歩したイーサリアムの高級言語になりつつあるとツイートしています。Vyperで書かれたプロジェクトの例にはUniswap v1やCurveなどがあります。

今回Vyperが言及したバージョンの再入ロック機能が無効になったことで、悪意のある者は契約に何度も再入し、単一の取引で特定の機能を何度も実行することができ、無許可の操作や資金の盗難を引き起こすことができます。

現在、Vyperの新しいバージョンは存在する脆弱性を修正していますが、Curveが攻撃を受けた数つの資金プールの契約はアップグレードできません。

今回のハッカー攻撃事件の真の原因は、Curve自体ではなく基盤となるプログラミング言語Vyperであり、安心する一方で、DeFiアプリケーションを支える基盤の安全性に対するユーザーの懸念が高まっています。なぜなら、アプリケーションの問題よりも、基盤言語の脆弱性の方が恐ろしいからです。これは、基盤層の脆弱性がもたらす災害がそのチェーン上のエコシステムに致命的な影響を与え、しばしば複数の連鎖反応を引き起こし、再構築のプロセスがより困難になるからです（例えば、Curveで攻撃を受けた資金プールの契約はプログラミング言語のアップグレードバージョンをサポートしていないなど）。一方、単一のアプリケーションに問題が発生した場合の影響範囲は大抵は制御可能です。

幸いにも、今回はSolidityではなく、まだそれほど普及していないVyperに問題が発生しました。

暗号KOLのCMはツイートで「Curveがハッキングされ、Vyperの技術的な問題が原因であることは、まさに釜底の水を抜くようなもので、これはプロトコル自体やスマートコントラクトの設計の問題ではありません。もしSolidityも同様に問題が発生する可能性があるなら、チェーン上のすべてのアプリケーションにも安全はありません。だから、あなたたちがDeFiは存在しないと言うなら、それはまだマシな方で、もっと悲惨なのはブロックチェーンが存在しなくなることです」と述べています。

しかし、ユーザーの中には、これは一つの真理を証明したと指摘する人もいます：絶対的な安全は存在しない。スマートコントラクトの利点を享受する際には、相応の代償を支払わなければならないのです。

"多難"なC urveはこの波乱を乗り越えられるのか？

攻撃の原因がプロジェクト自体の契約に関係ないとはいえ、Curveは依然として矢面に立っています。

あるユーザーは、今回の事件はプログラミング言語の問題であるにもかかわらず、Curveもこの責任を逃れられないと考えています。監査が不十分で、ユーザーに資金プールで使用されているプログラミング言語を積極的に通知していないからです。しかし、他のユーザーは、この事件がCurveのスマートコントラクトの安全性を証明していると述べています。なぜなら、他の資金プールはすべてVyperを使用しているわけではなく、リスクを分散しているからです。

総じて、この黒天鵝事件はCurveプラットフォームにとって負の影響が正の影響を上回っています。

今年はCurveにとって「多難な年」となっています。

まず、5月末にMichael Egorovがメディアに報じられ、妻のAnna Egorovaと共にメルボルンで2つの豪邸を購入し、合計4100万ドルを費やしたことが明らかになりました。面積は4251平方メートルです。

その後、6月初めにCurveの創設者Michael EgorovはParaFi、Framework Ventures、1kxの著名な暗号VCから商業詐欺で訴えられました。彼は2020年にCurveに100万ドルを投資した後、その投資資金をCurveの流動資金プールに預け、3社のVCは一切の商業的リターンを得られず、CRVトークンも返金も受け取っていないと主張しています。また、Michael EgorovはCurveの支配権を放棄する意図がなく、Curve DAOに権力を譲渡せず、予想以上に多くのCRVをロックして圧倒的な支配権を保持し、質権を通じて報酬を得る一方で、一部のトークンを売却していると告発されています。

さらに、創設者Michael EgorovがCRVの流通供給量の3分の1以上を握っていることが明らかになり、彼がAaveに担保として預けているCRVトークンの総量は2.91億枚に達し、CRVの流通供給量の34.15%を占めています。ユーザーにとって、Curveの創設者は低コストで現金化しているように見えます。

Aaveに担保として預けられた2.91億枚のCRVは、ユーザーにとって潜在的な危険因子と見なされ、集団的な空売りを引き起こす可能性があります。これはCurveのエコシステムとAaveプロトコルにとって大きな脅威であり、ユーザーはCRVが清算されてデススパイラルに陥ることがAaveに悪影響を及ぼすことを心配しています。今回の黒天鵝事件はそのポジションの清算を引き起こさなかったものの、再びユーザーの懸念を呼び起こしました。市場のリスクは予測不可能であり、極端な事件が発生すれば、この3億枚のCRVポジションがもたらす影響も予測できないものとなります。

その後、ステーブルコインcrvUSDの導入とデータの増加により、ユーザーは次第に創設者に関する論争を忘れつつありますが、相次ぐ事件はCurveにとって大きな打撃となっています。今回の攻撃後、Curveは前回のように迅速に回復できるのでしょうか？

公正に言えば、最近の事件は創設者の問題やスマートコントラクト言語の脆弱性による攻撃であっても、プロジェクト自体の運営には直接的な関係がなく、真に分散型プロジェクトに致命的な脅威を与えることはできません。今日、Wu JihanはCRVを買い増しし、Curveを支持するツイートをしました。「今後のRWAの波の中で、CRVは最も重要なインフラの一つです」と述べています。