Вчерашний взлом Curve Finance привел к потере активов стоимостью более $40 млн и резкому падению цены нaтивнoго токена Curve DAO (CRV).
Однако участники криптоиндустрии куда больше напуганы последствиями эксплойта, которые могут обернуться настоящей катастрофой для некоторых из крупнейших децентрализованных кредитных протоколов.
Что произошло с Curve Finance
Curve Finance столкнулся с крупным взломом, который прошел в два этапа. Первоначально хакеры украли около $26 млн из-за уязвимости повторного входа в пулах. Затем последовал второй этап атаки, в ходе которого злоумышленники вывели 7,1 млн CRV стоимостью $4,4 млн и 7680 WETH стоимостью $14,37 млн из пула CRV-ETH.
Инцидент произошел из-за уязвимости в устаревшей версии языка программирования Vyper, которая допускала проблемы с повторным входом в смарт-код Curve. В результате TVL снизился с $3,26 млрд до $1,72 млрд, что составляет падение почти на 46% за 24 часа.
От атаки пострадали ряд DeFi-проектов на Curve, включая JPEG’d, MetronomeDAO, deBridge и Ellipsis. Больше всех потерял пул alETH-ETH Alchemix — $13,6 млн.
Протокол AAVE оказался в зоне риска
Многие протоколы принимают токены CRV в качестве залога. Основатель Curve Finance воспользовался этим в полной мере: Егоров взял в нескольких протоколах кредиты на сумму $110 млн в стейблкоинах под залог 460 млн CRV стоимостью около $290 млн.
Самый крупный из выданных кредитов предоставила известная DeFi-платформа Aave V2. Займ стоимостью $70 млн обеспечен 34% циркулирующего предложения CRV, а его ликвидационная цена составляет $0,376 за токен. Если хакеры Curve попытаются обменять 7 млн украденных монет, курс актива, скорее всего, упадет ниже ликвидационной точки Егорова на длительный период времени. Это вынудит его закрыть позиции и подвергнет кредиторов риску возникновения задолженности.
Чтобы подлить бензина в и без того легко воспламеняющуюся ситуацию, кредиторы изымают депозиты, увеличивая загрузку пулов и процентные ставки. Некоторые участники рынка пошли еще дальше и активно способствуют ликвидации Егорова, повышая ставку по его позиции CRV Fraxlend.
Этот катастрофический сценарий не возник из ниоткуда, а стал результатом неспособности распознать предупреждающие знаки и пересмотреть статус CRV как залогового актива.
Ранее Aave уже сталкивался с проблемной задолженностью по рынку CRV после ликвидации крупной короткой позиции в январе, что явно свидетельствовало о недостатке ликвидности. Компания Gauntlet, которая специализируется на экономических исследованиях экосистемы DeFi, в прошлом месяце рекомендовала руководству Aave заморозить заимствования под нативный токен Curve.
Теперь, когда пул CRV/ETH опустел в результате атаки, ликвидность стала как никогда низкой. Учитывая то, что в настоящее время хакеры контролируют большую часть предложения CRV на биржах, а позиции Егорова приближаются к ликвидации, можно предположить, что котировки актива могут обрушиться буквально в любой момент. Таким образом, возникновение проблемных долгов попросту неизбежно.
Кто еще может пострадать от проблем Curve
Однако на линии огня также находится не только Aave. Протоколы Abracadabra, Fraxlend, Inverse и Silo, которые принимают CRV в качестве залогового актива, также рискуют столкнуться с масштабным падением TVL. Дополнительной проблемой для пользователей является возможность того, что нативные токены этих платформ будут использоваться для оформления безнадежных долгов. Это спровоцирует дополнительное давление продаж и приведет к значительному снижению цены монет.
Изолированные рисковые рынки, такие как Fraxlend и Aave V3, изолируют безнадежные долги от тех, кто сознательно принял на себя риск и предоставил средства под CRV-позиции; убытки будут поглощены этими кредиторами. Однако кредиторы, которые не изолировали риски — например, Aave V2 или MIM от Abracadabra, могут оказаться под ударом.
Учитывая широкое использование CRV в качестве залогового актива, ликвидационный каскад может стать настоящим испытанием для сегмента DeFi, который все еще не оправился от последствий затяжного медвежьего рынка.