【Odaily星球日报】读透热门DeFi项目Curve：它为什么重要？为何被「攻击」？( 五 )

真的被「攻击」了就在 Curve V4 上线但还未公开时， Curve 平台遭遇了一次特殊「事故」，也在海外 DeFi 社区闹出了不小动静。虽然这可能不属于一次黑客攻击事件，却暴露出了产品设计以及沟通层面的问题。
2 月 28 日，一名用户在 Curve V4 流动性不充足的前提下进行了超大额的兑换，虽然团队发现了该事件，并立即进行了补救，但这名用户最终还是损失了 14 万美元。后来，经过对交易记录的详细研究，却发现故事并不是表面这样简单。
事后 Andre Cronje 写了两篇文章，详细描述这件事情前因后果，而以下的分析基于他写的第二篇文章。
该事件涉及 3 个地址，为了方便起见，分别称之为：

损失者 A 地址

0x44e59f7c598644a68975ef41fed052362c4c8ed3

获利者 B 地址

0x8183866223445441b6fb9206b9f0b583410977e6

好朋友 C 地址

0x431e81e5dfb5a24541b5ff8762bdef3f32f96354
该事件发生的顺序为：

在 Curve V4（BUSD）尚未对外公开时， A 试图将 V3 的资金挪去 V4 ，所以进行了多次稳定币兑换。当时 V4 资金池中仅有 4.28 万 USDC（相比其他几个稳定币占比更低），但是 A 将自己远超这个数量级的资金兑换成了 USDC ，所以产生了巨额损失。损失金额最大的一笔也是最后一笔：A 将 44.6 万美元换成了 2.5 万 USDC 。 A 所有操作共记损失 56 万美元。
A 的操作让整个 Curve V4 的四个币种产生了不平衡（特别是 USDC 太少， BUSD 太多），也瞬间拉高了 Curve V4 中的手续费收益率。用户 B 可能是在观察到了 Curve V4 中不同寻常的收益率后，尝试进行套利。他成功将 3.3 万美元换成了 9 万 BUSD ，但另外两笔的操作却发生了亏损。 B 所有的操作共计产生收益 3527 美元。
团队在发现该问题后，立即联系了一名在 Curve 中存有大额资金的朋友 C ，让他针对资金池中四个稳定币的不平衡现象进行了补足，将 9 万 USDC 换为 46.5 万美元，将 9 万 DAI 换成 13.4 万美元，共产生收益 42 万美元。
由于各方进行了金额较大且极度不平衡的交易，所以每个人在操作过程中产生的高额手续费。据 Andre Cronje 推测，总共约有 14 万美元手续费。

所以总结来说，各位的损失和收益为：
A：损失 56 万美元；
B：获利 3527 美元；
C：获利 42 万美元；
Curve V4 资金池：获利 14 万美元手续费。
后来团队找到了 A 和 B 两个人，计划将 C 获利的 42 万美元还给 A 。但是在他们联系 B 之后，他未回复并删除了社交网络账号。
所以最终的结果就是：
A：损失 14 万美元；
B：获利 3527 美元；
Curve V4 资金池：流动性提供方获利 14 万美元。
该事件在发生后受到了不少 DeFi 业内人士（如 Chris Blec）的质疑和抨击，指责 Curve 以及 iearn 没有及时将该事件的细节公开，并且指出，他们的产品因缺少滑点保护功能所以才产生了这次的事故。
当然，也有社区人士（如 Gnosis 的产品负责人 Eric Conner）认为不必对该事件过于苛刻，因为指责和攻击这些 DeFi 项目的创建者并没有任何好处，不如设立起社区的资源，帮助这个自由的市场更好地识别风险。
后来， DeFi Weekly 的作者 Kerman Kohli 与 Andre Cronje 进行了单独的沟通，在他获得了更多的信息后，他认为指责 Andre Cronje 是不公平的，之后便写了一份详细的报告，描述了这件事的经过。其中大多数的细节与 Andre Cronje 自己写的报告一致，只是更详细一些，也修复了一些之前的错误。
除此之外， Kohli 还在报告中透露了一些新的发现：根据损失者 A 的多次故意产生损失的交易行为判断，有足够的理由怀疑这名用户是在探索 Curve 的做市算法，以找到合适时机「攻击」并从中获利。因为他在已经产生了损失之后，还持续用 BUSD 兑换更少的 USDC ，他可能是认为当两者的汇率有足够差异的时候，就可以将 USDC 换得更多的 BUSD 。但是，中间出现了用户 B 和用户 C ，让他没有能完成这样的操作，更何况，也许就算他来得及这样操作，也并不能从中获利。