DeFi：解決 EIP-4626 中的滑點問題_USD:MUSD價格

簡介

EIP-4626提供了一種將代幣投資到投資池(通常稱為金庫)的標準方法。當我們存入自己的資產（ERC-20 代幣）時，我們會收到一個份額代幣，代表我們在金庫里的資產。金庫將把匯集的資產投資到一個或多個基礎平臺，為持有者產生收益。

EIP-4626標準的一個結果是，存款和鑄幣函數沒有提供指定回報的最小份額或資產金額的方法。這通常用于防止高滑點或三明治攻擊。mStable 如何通過其 Meta Vaults 解決這個問題——在保持符合標準的同時減輕高滑點攻擊？本文描述了這些挑戰，并解釋了他們的方法是如何工作的。

EIP-4626和mStable金庫存款

mStable EIP-4626的首個金庫將投資于基于Curve 3Pool的Convex池。從EIP-4626的角度來看，金庫的資產是Curve 3Pool的流動性提供者代幣(3Crv)。存款函數是EIP-4626規范的一部分，它指定要存入多少資產以及將接收金庫份額的帳戶。存款函數返回給接收方會鑄造多少金庫份額。

DeFi平臺Furucombo代理遭攻擊 建議用戶取消對該合約的代幣批準:剛剛，DeFi聚合平臺Furucombo官方發布推文稱：“北京時間2月28日00:47，Furucombo代理被攻擊者入侵。我們已經取消了相關組件的授權，并相信漏洞將被修補，但我們建議用戶出于充分的謹慎取消批準。我們正在努力進行下一步工作，并將盡快更新我們的社區。請盡快從https://approved上取消你對我們合約的代幣批準。智能合約：0x17e8Ca1b4798B97602895f63206afCd1Fc90Ca5f。”[2021/2/28 17:59:31]

例如，存入3Crv Convex mUSD金庫將從調用方轉移3Crv，并將vcx3CRV-mUSD金庫份額轉移到接收方。

EIP-4626標準的強大之處在于，在投資池中有一種通用的投資方法，但對資產可以投資到底層平臺的內容和時間沒有限制。對于mStable的3Crv Convx mUSD 金庫來說， 3Crv被添加到Curve mUSD Metapool中，然后產生的流動性提供者代幣(musd3Crv)被存入Convex mUSD池中，該池會投資于Curve mUSD gauge并獲得更高的回報。

報告：DeFi高收益率或將威脅ETH 2.0參與狀況:ConsenSys第三季度DeFi報告警告說，當eth2.0第0階段最終啟動時，DeFi可能將成為影響參與率的障礙。ETH 2.0升級的第0階段很可能會在今年年底前啟動。ConsenSys開發商Benedgington上周表示，ETH2.0存款合約即將推出，信標鏈Genesis可能在未來6周內推出。然而，ETH持有人需要將資金鎖定在存款合約中，以獲得可變回報，考慮到越來越多的DeFi協議在為以太坊持有者爭取更大回報的流動性，投資者可能會離開，因為ETH 2沒有使其足夠安全和去中心化所必需的門檻。（Cointelegraph）[2020/10/28]

這個過程中的一個技術挑戰是如何防止三明治攻擊。

什么是三明治攻擊？如何預防它們？

當我們向Curve Metapool(或任何其他池)添加流動性時，我們指定自己想存入的資產數量和流動性提供者(LP)代幣的最小數量。對于mUSD Metapool，金額是一個包含兩項的數組。第一個是mUSD的量，第二個是3Crv的量。3Crv Convex金庫只存3Crv，因此金額數組的第一項將為零。

OKEx CEO：建議在DeFi領域中進行多元化投資:9月14日消息，OKEx CEO Jay Hao刊文表示，流動性挖礦可以是一種有利可圖的冒險，相關代幣往往也會看到價格飆升。然而，流動性挖礦并不簡單，回報很少會直線上升。這也不是一種適合所有加密持有者的做法，因為它通常要求持有者質押大量的資金，以賺取更多的回報。此外，在DeFi領域，存在著各種尚未立即顯現的風險。大多數人似乎忽視了與流動性挖礦相關的一個風險，那就是智能合約的本質。流行的DeFi協議是由資源有限的小團隊開發的，這可能增加智能合約錯誤和漏洞的風險。甚至著名的經過審計的協議也曾被黑客入侵。因此，Jay Hao建議投資者進行多元化投資，即不要“把所有的雞蛋放在一個籃子里”。（Cointelegraph）[2020/9/14]

開發金庫時的一個技術挑戰是我們如何設置預期流動性提供者代幣的最小數量。

僅僅將min_mint_amount設置為零是不夠的，因為它會讓存款交易受到三明治攻擊。但在我們深入了解三明治攻擊是如何工作之前，我們需要更多地了解Curve Metapool定價是如何工作的。由于金庫只添加兩個池代幣(mUSD和3Crv)中的一個，因此它接收到的Metapool流動性提供者(LP)代幣的數量將取決于Metapool中mUSD和3Crv的余額。池中的 3Crv 越多，當僅將 3Crv 添加到 Metapool 時，返回的 LP 代幣就越少。

泰國央行CBDC項目人員：央行正在關注DeFi產業的最新發展:泰國央行CBDC項目高級開發人員Vijak Sethaput近日在接受采訪時表示，央行正在關注DeFi產業的最新發展，然而，在嘗試將新技術引入泰國本地加密貨幣之前，央行必須解決關于DeFi的兩個主要問題——客戶身份和隱私。Sethaput還表示，智能合同部署是Inthanon項目下一階段的重點。

注：今年六月，泰國中央銀行宣布了一項開發商業性去中心化支付系統原型的項目。泰國央行CBDC的原型將基于Inthanon項目，這是一個由泰國央行與該國八大商業銀行合作發起的分布式賬本項目。（Cointelegraph）[2020/8/14]

例如，如果Curve的mUSD Metapool添加了 200 萬個 mUSD，600 萬個 3Crv 和 100k 個 3Crv，則將收到 100,068 個 LP 代幣 (musd3Crv)。如果 Metapool 有 600 萬個 mUSD，添加了 200 萬個 3Crv 和 100k 個 3Crv，將收到 100,892 個 LP 代幣 (musd3Crv)。

那么三明治攻擊是如何實現的呢?

攻擊者在將交易包含到區塊之前，就會監控Mempool中可能被利用的交易。為了利用交易，他們賄賂區塊生產者，將他們的交易包含在可利用的交易之前和之后。也就是說，他們將易受攻擊的交易與自己的交易夾在一起。如果有一筆交易將 3Crv 添加到最低 LP 金額為零的 mUSD Metapool，則攻擊者的第一筆交易將是減少 Metapool 中的 mUSD 數量。這意味著在易受攻擊的添加流動性交易中收到的 Metapool LP 代幣數量遠低于應有的數量。在第三個交易中，攻擊者返還在第一個交易中刪除的mUSD，并將收益裝入囊中。

觀點：對于DeFi來說 快速貸款可能會帶來比預期更大的風險:ConsenSys Diligence聯合創始人Gon?aloS表示，對于快速貸款，一些安全假設完全被打破了，快速貸款可以被用來破壞DeFi協議。他接著補充說，在某種意義上，這些可能已經發生了。有些鯨魚有能力實施這樣的攻擊，但這樣做有名譽風險。但是，Gon?aloS也指出，盡管仍然存在此類漏洞，但社區已做出積極響應并采取了積極措施，防止此類攻擊再次發生。（AMBcrypto ）[2020/3/16]

例子

使用Curve的mUSD Metapool，池中有6,000,000 mUSD和3Crv, 11,917,295個LP代幣(musd3Crv)和1.018095美元的虛擬價格。

攻擊者通過使用 6,500,000 (54.5%) 池流動性提供者 (musd3Crv) 代幣從池中提取 5,973,425 的mUSD，使用他們池中的大部分流動性提供者代幣 (musd3Crv) 來平衡池。使用remove_liquidity_one_coin函數進行單邊提款，池中剩下 0.43% mUSD 和 99.56% 3Crv。虛擬價格上漲了近1%，至1.019105，因為大量不平衡的提現為池收取了費用。

受害者使用add_liquidity函數將100,000個3Crv添加到不平衡的池中，且沒有最小流動性提供者數量。如果池是平衡的，受害者得到81978個LP代幣而不是100371個。這意味著受害者得到的LP代幣比他們應該得到的少18,393個(18%)。以美元計算，受害者得到的美元價值減少了18,643(18%)。

對于第三個也是最后一個交易，攻擊者使用add_liquidity將他們從第一個交易中提取的5,973,425個mUSD添加回池中，以接收6,503,610個LP代幣(musd3Crv)。比第一次交易多取了3610美元。池的虛擬價格將增加1%至1.019216，因為這是另一個不平衡的交易。以美元計算，攻擊者的LP價值從6,500,000 * 1.018095 = 6,617,617美元上升到6,503,610 * 1.019216 = 6,628,583美元，增加了10,966美元(1.65%)。

如果受害者損失了18643美元價值，而攻擊者只獲得了10966美元價值，那么缺失的7677美元價值在哪里?

使池失衡的0.04%費用由流動性提供者和Curve投票托管的CRV (veCRV)持有者平均分攤。攻擊者未持有的 5,417,295 LP 代幣的價值從 5,515,323 美元增加到 5,520,794 美元。這比池費用的 50% 增加了 5,471 美元。增加的美元價值歸于托管 CRV (veCRV) 持有人。

Curve的保護

為了防止三明治攻擊，在向Curve Metapool添加流動性時，需要指定一個合理的最小LP代幣數量。通常，DeFi 協議會在交易中傳入相當數量的金額。Curve池中的add_liquidity函數就是min_mint_amount的一個很好的例子。但是對于標準的EIP-4626存款函數，沒有定義參數來指定最小金額，因此我們無法傳入相當數量的鏈下計算的Metapool LP代幣。

Curve池有一個calc_token_amount函數，它可以計算池代幣存款收到的 LP 代幣數量。但這不能用來防止三明治攻擊。如果已經運行了一個交易來平衡池，那么calc_token_amount函數將只返回當前不公平的LP代幣數量。

因此問題仍然存在，EIP-4626函數沒有辦法傳遞最小量。打破標準來添加這一點是不可取的，使用預言機也是次優的。我們需要鏈上方法。

mStable的方法

mStable的金庫獲得一個公平的Metapool LP代幣價格的方法是使用Curve Metapool和Curve 3Pool的虛擬價格。get_virtual_price函數以美元為單位返回池的流動性提供者代幣的價格。它通過計算池的不變式來實現這一點，該不變式是池中代幣的美元價值除以代幣的總供應量。由于池中代幣的余額不影響池的不變值或總美元價值，虛擬價格不會受到三明治攻擊。

對于存入mStable金庫的存款，我們需要在Curve的3Pool LP代幣(3Crv)中對Metapool LP代幣進行定價，因為這是我們在金庫中使用的資產。為此，我們得到3Pool虛擬價格，并將其除以Metapool LP代幣價格。

一旦我們有了一個合理的價格，我們就可以通過目前配置為 1% 的滑點系數來降低它。這個調整后的公平價格用于計算在向池中添加3Crv流動性時可以接收的Curve Metapool LP代幣(musd3Crv)的最小數量。

存款的全部流程如下：

結論

雖然標準在標準化和獲得采用方面起著巨大的作用，但像這樣的問題提醒我們，在DeFi方面沒有輕松的勝利。我們需要認識到現有標準的局限性，并為它們尋找最佳的解決方案。

Source：https://medium.com/mstable/solving-the-issue-with-slippage-in-eip-4626-3af9a5d8e597

去中心化金融社區

個人專欄

閱讀更多

金色早8點

比推 Bitpush News

Foresight News

PANews

Delphi Digital

區塊鏈騎士

深潮TechFlow

鏈捕手

區塊律動BlockBeats

比推BitpushNews

DeFi之道

Tags：CRV3CRVMUSDUSDYearn Compounding veCRV yVault3crv幣怎么賣MUSD價格ATUSD

狗狗幣價格