Suy ngẫm về sự kiện Curve: DeFi đã phục hồi như thế nào từ bờ vực sụp đổ?
Tuyển chọn TechFlowTuyển chọn TechFlow
Suy ngẫm về sự kiện Curve: DeFi đã phục hồi như thế nào từ bờ vực sụp đổ?
Những người nói rằng "DeFi đã chết" là sai lầm, thực tế thì nó đang mạnh mẽ hơn bao giờ hết.
Chuyên sâu báo cáo Web3Tác giả: DEFI DAVE
Biên dịch: TechFlow
Rắn có một vị trí đặc biệt trong tiềm thức tập thể của con người. Chúng tượng trưng cho sự chuyển hóa, tái sinh, bất tử và chữa lành. Tuần này có thể nói là DeFi đã trải qua chính quá trình tái sinh của mình. Một lỗ hổng 0-day độc hại đã thâm nhập sâu vào trình biên dịch ngôn ngữ lập trình Vyper, gây ra những hệ quả dây chuyền khắp toàn bộ hệ thống và thị trường, khiến các nhà làm giá giảm thèm nhỏ dãi.
Là một trụ cột của DeFi, Curve Finance ở ngay trung tâm của toàn bộ sự kiện, đẩy giao thức này vào bài kiểm tra thách thức nhất từ trước đến nay, đòi hỏi những hành động chưa từng có để giảm thiểu thiệt hại do lỗ hổng tiềm tàng gây ra. Trên chuỗi, các "mũ trắng" đã đối đầu quyết liệt với tin tặc — những người cố gắng khôi phục lại tài sản bị mất, trong khi kẻ tấn công tìm cách rút ra hàng triệu đô la tính thanh khoản. Đồng thời, những người xây dựng như Michael Egorov, người sáng lập Curve, cùng một số đồng minh khác đã kiên cường cầm cự, tận dụng cơ chế khuyến khích mới của Frax – đối tác thân cận nhất của họ – cộng thêm các giao dịch ngoài chuỗi (OTC), dường như đã cứu CRV khỏi rơi vào vòng xoáy tử thần.
Giống như mọi cuộc khủng hoảng, các giao thức đều phải chịu kiểm tra dưới điều kiện khắc nghiệt nhất. Những ai sống sót sẽ trở nên mạnh mẽ hơn, còn những ai không vượt qua sẽ bị đào thải. Tài chính phi tập trung (DeFi) vốn chẳng xa lạ gì với việc hàng chục tỷ đô biến mất không dấu vết, như trường hợp Terra Luna năm ngoái. Dù chúng ta đang nói về các giao thức, nhưng đằng sau đó là con người. Trong thời điểm khó khăn này, chúng ta đã chứng kiến cả cộng đồng đứng lên, để cả thế giới chứng kiến — hoặc là thành công rực rỡ, hoặc là bị loại bỏ hoàn toàn.
Khi làn khói chiến tranh cuối cùng cũng tan đi, chúng ta có thể suy ngẫm xem điều gì đã xảy ra, tại sao nó xảy ra, và điều đó hàm ý điều gì cho tương lai của DeFi. Chắc chắn rằng, dù tình huống tồi tệ nhất phần lớn đã qua, thì vẫn cần một chút tự vấn bản thân.
(Con ma) trong cỗ máy bị lãng quên
Vyper là một ngôn ngữ lập trình dành cho Máy ảo Ethereum (EVM), ra mắt vào năm 2017. Dù kém phổ biến hơn Solidity, nhưng Vyper mang lại sự đa dạng ngôn ngữ cho EVM – điều quan trọng để tránh tình trạng đơn độc về mặt văn hóa. Tôi thậm chí không dám tưởng tượng nếu chỉ còn duy nhất một ngôn ngữ, thì tình hình sẽ tồi tệ đến mức nào. Dù sao đi nữa, Curve sử dụng Vyper để tạo và triển khai các hợp đồng thông minh của họ. Thực tế, để nhấn mạnh tầm quan trọng này, cộng đồng Curve năm ngoái đã thông qua một đánh giá nhà cung cấp nhằm tài trợ phát triển Vyper.
Lỗ hổng này cuối cùng quy về vấn đề động lực kiểm toán trình biên dịch. Trình biên dịch là thiết bị phần mềm kỳ diệu, chuyển đổi ngôn ngữ lập trình do con người viết sang mã máy có thể đọc được. Chúng tồn tại trong một phần của hệ thống mà bị sai lầm cho là an toàn, do đó không nhận được sự chú ý từ các kiểm toán viên thường tập trung vào lớp hợp đồng thông minh. Hơn nữa, do đặc điểm cấu trúc, Vyper dễ đọc hơn so với Solidity, từ đó dễ phát hiện lỗi hơn. Trong vài ngày sau khi Vyper bị tấn công, các thành viên cộng đồng đã kêu gọi nhiều lần, mong muốn tạo ra cơ chế khuyến khích phù hợp để ngăn chặn lỗ hổng tương tự xảy ra trong tương lai.
Tuy nhiên, động lực đối với tin tặc là rõ ràng: họ thâm nhập sâu vào máy ảo để tìm kiếm phần thưởng tiềm năng, vì cơ hội khai thác các giao thức dễ bị tổn thương ngày càng ít đi. Khi thị trường tăng trưởng liên tục trong nhiều năm, các dự án ít tên tuổi đạt được giá trị khóa (TVL) hàng trăm triệu đô la Mỹ, trở thành mục tiêu hấp dẫn. Khi cơ hội ngày càng khan hiếm, những tay chơi tinh vi buộc phải tìm cách đổi mới, cuối cùng đưa họ đến một nơi thường bị lãng quên: trình biên dịch.
Để thấy rõ lỗ hổng này bị bỏ qua lâu đến mức nào, cần biết rằng nó đã tồn tại từ năm 2021 và chỉ vô tình được sửa trong phiên bản Vyper 0.3.1 mới nhất. Tuy nhiên, các hợp đồng bể thanh khoản chứa ETH gốc và được viết bằng các phiên bản 0.2.15, 0.2.16 và 0.3.0 vẫn tiếp tục hoạt động. Cuộc tấn công đầu tiên xảy ra vào cuối tuần, khi mọi thứ kết thúc, tổng cộng 69 triệu đô la đã bị đánh cắp. Các bể thanh khoản bị ảnh hưởng nặng nề nhất bao gồm JPEG'd, Alchemix, Metronome và ngay cả bể của Curve.
Trong khủng hoảng, thời gian là yếu tố sống còn, riêng tư cũng vậy. Trước lỗ hổng, các mũ trắng đã đoàn kết tìm giải pháp. Những anh hùng nổi lên, như 0xc0ffeebabe, nỗ lực và hành động của anh đã cứu vãn hàng triệu đô la. Tiếc thay, không phải ai cũng đứng trên cùng một chiến tuyến. Như Robert Chen, kiểm toán viên của Otter Sec đã nói: “Các kiểm toán viên không phải trả phí cho các ngoại ứng do báo cáo của họ tạo ra. Thay vào đó, họ được trả bằng lượt thích, retweet và quảng bá.” Một lần nữa, chúng ta lại thấy vai trò của động lực, nhưngthay vì các hacker săn tìm mảnh vụn, thì các kiểm toán viên lại coi trọng retweet hơn là phục hồi tài sản.
CRV giữa vòng vây của cá mập
CRV là một token quản trị gắn liền chặt chẽ với giao thức Curve. Tầm quan trọng của nó nằm ở hành vi mà nó tạo động lực: tính thanh khoản sâu. Những ai khóa CRV của họ thành veCRV có thể bỏ phiếu định hướng phần thưởng dành cho các nhà cung cấp thanh khoản (LP). Mô hình tiên phong này đã đặt nền móng cho hệ sinh thái khuyến khích biểu quyết phức tạp, đồng thời giúp Curve giành danh hiệu “hố đen thanh khoản”.
Bể bị ảnh hưởng nặng nề nhất bởi lỗ hổng Vyper là cặp giao dịch CRV/ETH trên Curve — nguồn thanh khoản chính của CRV trên chuỗi. Điều này dường như gây rắc rối cho Michael, vì ông nắm giữ lượng lớn CRV của chính mình (và phần lớn nguồn cung trong các giao thức cho vay như Fraxlend, AAVE, Abracadabra...). Nếu ông bị thanh lý, CRV sẽ gần như về 0 và toàn bộ cấu trúc khuyến khích mà Curve xây dựng sẽ sụp đổ.
Michael không xa lạ gì với việc quản lý vị thế vay. Thực tế, theo dữ liệu từ Curve Cap, Michael đã sử dụng các thị trường tiền tệ trên chuỗi kể từ năm 2018 mà chưa từng bị thanh lý, thậm chí một lần nào cũng không. Chính qua việc tương tác với các giao thức cho vay, Michael đã lấy cảm hứng để xây dựng Curve, nhằm trao đổi trơn tru giữa các stablecoin, và sau này thúc đẩy ông triển khai crvUSD — một cơ chế thanh lý ôn hòa hơn. Bây giờ, khi cá mập đang bơi quanh vị thế thế chấp đang "chảy máu" của ông, Michael cần hành động nhanh chóng để ngăn chúng nuốt chửng vị thế CRV của mình — và ông đã làm điều mà ông giỏi nhất.
Trong tất cả các giao thức cho vay, điều cần ưu tiên nhất là vị thế Fraxlend của ông. Michael có khoản vay 17 triệu đô la trên Fraxlend với tài sản thế chấp trị giá 24 triệu đô la, tỷ lệ sử dụng của cặp giao dịch này gần 100%. Thiết kế của Fraxlend là khi tỷ lệ sử dụng đạt mức tối đa, nếu chạm 100%, lãi suất sẽ tự động nhân đôi, và cứ mỗi 12 giờ lại tiếp tục nhân đôi. Nếu không xử lý, lãi suất hàng năm của cặp này sẽ lên tới hàng ngàn phần trăm, chắc chắn dẫn đến thanh lý.
Michael đã thực hiện một bước đi chưa từng có: ông tạo ra một bảng đo (gauge) độc nhất, thưởng cho những ai cung cấp thanh khoản bằng fFRAX cho CRV/FRAX (token nhận dạng FRAX trong cặp giao dịch CRV của Fraxlend). Mục tiêu của bảng đo này là khuyến khích mọi người cho vay FRAX để hạ thấp tỷ lệ sử dụng CRV/FRAX. Là thị trường thứ cấp cho nợ Frax, cơ chế khuyến khích này có thể mở ra những ứng dụng thú vị khác trong tương lai.
Ngoài các biện pháp khuyến khích, điều mạnh mẽ hơn cả là mối quan hệ vững chắc — những liên minh có thể tin cậy ngay cả trong hoàn cảnh cực đoan nhất. Các "OG" và những người có ảnh hưởng đương thời trong lĩnh vực mã hóa đã lên tiếng ủng hộ, thậm chí Wu Jihan cũng đăng tweet nói rằng ông sẽ mua vào. Trong vài giờ sau khi ông công bố bảng đo fFRAX/crvUSD, hàng triệu CRV đã được bán OTC cho Justin Sun, DCF God, CT2P và một số cá nhân ẩn danh. Ngay khi tin tức bán OTC bắt đầu lan ra, giá CRV phục hồi và hàng triệu đô la vị thế bán khống đã bị thanh lý. Trong khi các giao dịch OTC vẫn tiếp diễn, CRV và Curve dường như đã vượt qua được cơn bão.
Kết luận
Nguy cơ cấp bách nhất hầu như đã qua, việc còn lại là quản lý an toàn các vị thế vay. Từ chuỗi sự kiện hỗn loạn này, chúng ta có thể rút ra kết luận gì? Trước hết, những ai nói “DeFi đã chết” là sai — thực tế, nó mạnh mẽ hơn bao giờ hết.
Nếu cuộc khủng hoảng này xảy ra trong thế giới tài chính truyền thống đầy bí mật, chúng ta có thể phải đợi nhiều năm mới biết được toàn bộ chi tiết. Nhưng vì câu chuyện này được viết trên chuỗi, nơi mọi người đều có thể thấy, chúng ta có thể phân tích từng giao dịch một để hiểu chuyện gì đã xảy ra. Mức độ minh bạch chưa từng có này cho phép chúng ta theo dõi sức khỏe của các giao thức cho vay và các bể thanh khoản từng mảnh một, và hiểu tại sao một số hành động nhất định lại được thực hiện.
Tuy nhiên, chúng ta phải nhớ rằng, dù DeFi tạo ra sự bình đẳng về cơ hội và hạ thấp rào cản tham gia, điều đó không có nghĩa là kết quả sẽ bình đẳng. Động lực không quan tâm đến cảm xúc — chúng chỉ quan tâm đến việc tích lũy thêm giá trị. Dù là giá trị tiền tệ từ việc tấn công, địa vị xã hội từ việc tổ chức phục hồi, động lực giới thiệu tham số cho giao thức cho vay, hay lý thuyết trò chơi kinh tế đằng sau việc hoàn trả người đi vay — mọi hành động diễn ra trong tuần qua đều là kết quả lạnh lùng của các động lực thúc đẩy.
Nếu DeFi thực sự muốn đạt đến tầm vóc của tài chính truyền thống, đặc biệt khi ngày càng nhiều giá trị bị đặt vào thế hiểm nghèo, nó phải đấu tranh với thực tế của thế giới vận hành theo động lực, và xây dựng phù hợp với điều đó. Đây chính là cách suy nghĩ của Satoshi, và cũng chính là điều chúng ta phải làm để phát triển thịnh vượng.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
@FlywheelDeFi
