DeFi під загрозою: наслідки злому Curve Finance поширилися по всій екосистемі

Учорашній злом Curve Finance призвів до втрати активів вартістю понад $40 млн і різкого падіння ціни нативного токена Curve DAO (CRV).

Проте учасники криптоіндустрії значно більше налякані наслідками експлойту, які можуть стати справжньою катастрофою для деяких з найбільших децентралізованих кредитних протоколів.

Curve Finance зіткнувся з великим зломом, який пройшов у два етапи. Спочатку хакери вкрали близько $26 млн через вразливість повторного входу в пулах. Потім був другий етап атаки, в ході якого зловмисники вивели 7,1 млн CRV вартістю $4,4 млн і 7680 WETH вартістю $14,37 млн з пулу CRV-ETH.

Інцидент стався через вразливість у застарілій версії мови програмування Vyper, яка припускала проблеми з повторним входом у смарт-код Curve. В результаті TVL знизився з $3,26 млрд. до $1,72 млрд., що становить падіння майже на 46% за 24 години.

Від атаки постраждали ряд DeFi-проектів на Curve, включаючи JPEG'd, MetronomeDAO, deBridge та Ellipsis. Найбільше втратив пул alETH-ETH Alchemix - $13,6 млн.

Багато протоколів приймають токени CRV як заставу. Засновник Curve Finance скористався цим повною мірою: Єгоров взяв у кількох протоколах кредити на суму $110 млн у стейблкоїнах під заставу 460 млн CRV вартістю близько $290 млн.

Найбільший із виданих кредитів надала відома DeFi-платформа Aave V2. Позика вартістю $70 млн забезпечена 34% циркулюючої пропозиції CRV, а її ліквідаційна ціна становить $0,376 за токен. Якщо хакери Curve спробують обміняти 7 млн вкрадених монет, курс активу, швидше за все, впаде нижче за ліквідаційну точку Єгорова на тривалий період часу. Це змусить його закрити позиції і піддасть кредиторам ризик виникнення заборгованості.

Щоб підлити бензину в і так легко займисту ситуацію, кредитори вилучають депозити, збільшуючи завантаження пулів і відсоткові ставки. Деякі учасники ринку пішли ще далі та активно сприяють ліквідації Єгорова, підвищуючи ставку за його позицією CRV Fraxlend.

Цей катастрофічний сценарій не виник з нізвідки, а став результатом нездатності розпізнати знаки попередження і переглянути статус CRV як заставного активу.

Раніше Aave вже стикався із проблемною заборгованістю по ринку CRV після ліквідації великої короткої позиції у січні, що явно свідчило про нестачу ліквідності. Компанія Gauntlet, яка спеціалізується на економічних дослідженнях екосистеми DeFi, минулого місяця рекомендувала керівництву Aave заморозити запозичення під нативний токен Curve.

Тепер, коли пул CRV/ETH спорожнів у результаті атаки, ліквідність стала як ніколи низькою. Враховуючи те, що в даний час хакери контролюють більшу частину пропозиції CRV на біржах, а позиції Єгорова наближаються до ліквідації, можна припустити, що котирування активу можуть бути буквально в будь-який момент. Таким чином, виникнення проблемних боргів просто неминуче.

Однак на лінії вогню також знаходиться не лише Aave. Протоколи Abracadabra, Fraxlend, Inverse і Silo, які приймають CRV як заставний актив, також ризикують зіткнутися з масштабним падінням TVL. Додатковою проблемою для користувачів є те, що нативні токени цих платформ будуть використовуватися для оформлення безнадійних боргів. Це спровокує додатковий тиск продажу та призведе до значного зниження ціни монет.

Ізольовані ризикові ринки, такі як Fraxlend та Aave V3, ізолюють безнадійні борги від тих, хто свідомо прийняв на себе ризик та надав кошти під CRV-позиції; збитки будуть поглинені цими кредиторами. Однак кредитори, які не ізолювали ризики, наприклад, Aave V2 або MIM від Abracadabra, можуть опинитися під ударом.

Враховуючи широке використання CRV як заставного активу, ліквідаційний каскад може стати справжнім випробуванням для сегменту DeFi, який все ще не оговтався від наслідків затяжного ведмежого ринку.