Curve被盗后的随笔

Curve四个流动性池被偷，这事挺让我伤心的。这和以往defi里被盗事件有很大的不同。

流动性资金池，就是一个托管两种（也可以是多种）币的合约代码，用户可以存入这两种币进去，合约会返回给用户一个代表自己能从池子领回多少份额的凭证，普遍被称为lptoken。

流动性资金池里的资金正常的情况，只有两种行为才能改变里面的资金量和配比。

1.其他用户和池子交易。即用户将一个币扔给池子，池子给用户另外一个币。

2.lptoken铸造和销毁。即添加流动性的用户执行添加和撤离资金的操作。

其他用户和池子交易需要支付手续费给lptoken用户，挣这部分手续费就是流动性挖矿。

但这次Curve被盗，黑客直接从资金池里将资金掏走了，即没有往池里扔币，也没有销毁lptoken，黑客就靠代码漏洞把资金给拿走了。

流动性挖矿一直是defi里最坚实的，最正和博弈的生意之一。因为lptoken用户添加了流动性，方便了其他用户交易，lptoken用户获得手续费。这是非常正和博弈的。

流动性挖矿一直是defi里最安全稳定运行的。除了少数一些创造dex的项目方自己留了后门，可以偷其他lptoken用户的资金后，这就是俗称的rug。一直以来流动性挖矿都遇到正经的资金问题。

dex的流动性挖矿对链外依赖度也是最小的，不需要Oracle，完全独立自己运行。

这门生意的去中心化程度非常好。就这次Curve被偷了5200万U的资金，估计也没人会去告Curve项目方，我也没有看到谁拉维权群，这就是去中心化，所有参与者都默认是自己的责任。

我对链上合约的安全性一直是有罪推定的，真要把大量资金存入合约时，一定要充分思考合约的安全性。这个和把币存进交易所是一个道理。

什么样的合约是安全的？我们绝大多数人都能看得懂的，常见的评估指标有：

1.审计。审计的有效性越来越受到质疑。

2.是否开源。合约不开源的，一般默认不碰。

3.存活时间。存活时间越久，我们往往认为越安全。

4.TVL。锁定的资金越大，我们往往认为越安全。

5.合约复杂程度。越复杂的，越不安全。Curve就是太复杂了。

Curve运行了这么久的链上，这几乎是2020年defi summer我接触到的最早的挖矿项目，竟然出事，真让人伤心。

接下来uniswap要发布V4版本了，设计越来越复杂，可别翻车啊。