Situasi Curve Finance dan Token CRV Pasca Serangan Vyper Compiler
Telah terjadi serangan terhadap beberapa pool likuiditas dalam ekosistem DeFi Curve Finance pada 30 Juli lalu. Serangan tersebut mengakibatkan kerugian pengguna yang diproyeksikan berada pada kisaran angka $61 juta. Serangan yang terjadi akibat kerentanan (0-day compiler bug) bahasa pemrograman Vyper versi 0.2.15, 0.2.16, dan 0.3.0 tersebut saat ini dapat dikatakan telah cukup berhasil dimitigasi oleh tim pengembang Curve Finance. Artikel analisis ini akan mencoba mengulas situasi dan kondisi terkini pasca serangan tersebut serta mencoba memproyeksi bagaimana situasi tersebut dapat berdampak pada masa depan proyek Curve Finance dan token CRV.
Terdapat dua prioritas utama yang harus segera dilakukan setelah peristiwa serangan tersebut terjadi dan area serangan telah berhasil dipetakan. Pertama yaitu mengembalikan dana pengguna yang dicuri, dan kedua, memutus risiko contagion khususnya dengan adanya sekitar $200 juta token CRV milik Michael Egorov, pendiri Curve, yang saat itu sedang dijadikan kolateral untuk pinjaman di platform lending terdesentralisasi seperti Aave.
Terkait prioritas pertama: Terdapat beberapa pihak dengan kerugian terbesar akibat serangan tersebut, diantaranya adalah; JPEG’d, ~ $11,5 juta dari pool pETH/ETH (transaksi ..f1620c), Alchemix pada pool alETH/ETH ~ $10 juta (transaksi ..3c9801), dan Curve Finance sendiri ~ $18,8 juta melalui pool CRV/ETH (transaksi ..ae477c). JPEG’d dan Alchemix masing-masing telah mengumumkan diterimanya pengembalian dana oleh hacker sedangkan Curve melalui akun twitternya pada 11 Agustus (Jumat minggu lalu) juga mengklaim lebih dari 70% dana yang dicuri secara keseluruhan telah berhasil didapatkan kembali. Curve Finance juga telah menyampaikan komitmennya untuk mengembalikan dana para pengguna yang terkena dampak dari serangan tersebut secara adil.
Terkait prioritas kedua: Michael Egorov diketahui telah melakukan penjualan token CRV miliknya melalui OTC (over the counter) kepada beberapa pihak, termasuk Justin Sun (founder Tron), DWF Labs, Wintermute, Binance Labs, dan lain-lain. Secara total, Egorov diestimasikan berhasil mendapatkan senilai lebih dari $45 juta dalam bentuk USDT dan USDC dengan penjualan sekitar 115 juta token CRV kepada lebih dari 20 organisasi dan individu. Dana tersebut digunakan untuk melakukan pembayaran sebagian pinjaman pada platform decentralized lending yang ia gunakan, untuk meminimalisasi risiko contagion akibat potensi likuidasi apabila hacker kemudian melakukan penjualan besar-besaran (dump) token CRV. Upaya tersebut telah mulai dilakukan Egorov sebelum pihak hacker melakukan pengembalian dana, sebagai upaya mitigasi apabila skenario terburuk (dump) tersebut terjadi. Saat ini, wallet Egorov menyimpan sekitar $170 juta aset kripto dengan 46,46 juta token CRV atau setara dengan sekitar $25,9 juta diletakkan pada wallet tersebut, dan beberapa token CRV terhubung dengan smart contract pada platform lending sebagai kolateral dengan rincian sebagai berikut:
Aave V2
- Kolateral: 124.323.689 CRV
- Pinjaman: 18.182.286 USDT
CRV akan terlikuidasi apabila harga per tokennya menyentuh $0,147 dan harga USDT tetap stabil di $1.
Fraxlend
- Kolateral: 68.607.195 CRV
- Pinjaman: 15.295.705 FRAX
CRV akan terlikuidasi apabila harga per tokennya menyentuh $0,223 dan harga FRAX tetap stabil di $1.
Inverse
- Kolateral: 35.628.033 CRV
- Pinjaman: 7.689.209 DOLA
CRV akan terlikuidasi apabila harga per tokennya menyentuh $0,216 dan harga DOLA tetap stabil di $1.
- Kolateral: 10.845.650 cvxCRV
- Pinjaman: 1.687.084 DOLA
cvxCRV akan terlikuidasi apabila harga per tokennya menyentuh $0,156 dan harga DOLA tetap stabil di $1.
Cream
- Kolateral; 13.000.000 CRV
- Pinjaman: 2.004.425 USDT dan 500.861,29 USDC
CRV akan terlikuidasi apabila harga per tokennya menyentuh $0,193 dan harga USDT dan USDC tetap stabil di $1.
Dari paparan di atas, dapat diketahui bahwa selain angka pinjaman yang telah jauh berkurang dari sebelumnya senilai $200 juta lebih, rasio kolateral CRV Egorov pun berada pada ambang yang dapat dikatakan cukup aman dengan harga token CRV di pasar saat ini berada pada kisaran angka $0,55. Dengan demikian, risiko terjadinya contagion yang destruktif terhadap ekosistem DeFi secara umum dapat dikatakan cukup minim. Terlebih dengan hacker (perkiraan paling banyak) saat ini menguasai hanya sekitar senilai $12,8 juta token CRV (angka didapat dari laporan bahwa 79% dana curian telah didapatkan kembali, dibandingkan dengan estimasi total aset yang dicuri sebesar $61 juta) dapat dikatakan akan cukup sulit untuk menurunkan harga CRV hingga menyentuh area $0,223 tersebut.
Setelah peristiwa penjualan CRV melalui OTC pasca serangan tersebut, secara total CRV dalam kepemilikan Michael Egorov saat ini kami estimasikan berada pada angka sekitar 377,9 juta token dengan rincian sebagai berikut;
| Dalam wallet | 46.460.624 CRV |
| Sebagai kolateral pinjaman | 252.404.567 CRV |
| Kontrak vesting | 51.847.670 CRV |
| Locked liquidity | 27.191.329 CRV |
| Total kepemilikan CRV | 377.904.190 token |
*Sisa vesting: 51.847.670 CRV dengan 2.106.580,41 token sudah dapat diklaim (Data per 16 Agustus 2023). Sisanya dirilis secara progresif setiap harinya sebesar 137.150,88 CRV dan akan rilis seluruhnya pada 12 Agustus 2024.
*Egorov juga memiliki 27.191.329 CRV yang dikunci pada pool likuiditas di platform Curve Finance hingga 27 Mei 2027.
Dengan total supply CRV saat ini berada pada angka 1.996.863.308 token, maka kepemilikan CRV Egorov berada pada persentase 18,93%. Secara umum tim inti (core team) Curve Finance mendapatkan alokasi token sebesar 800,9 juta CRV atau sekitar 35,13% dari total suplai 2,268 miliar CRV pada akhir periode vesting (Agustus 2024) nantinya, seperti yang diindikasikan pada grafik di bawah ini.
Sumber: curve.fi
Dengan demikian, dapat dikatakan secara distribusi, token CRV berada pada situasi yang lebih baik dengan semakin kecilnya kepemilikan token oleh tim pengembang Curve Finance. Distribusi 100 juta token lebih kepada investor-investor ternama seperti Wintermute dan Binance Labs misalnya juga dapat memperluas diversifikasi dalam pengambilan keputusan dan dukungan strategis yang dibutuhkan untuk pengembangan platform, mengingat adanya insentif finansial bagi institusi-institusi tersebut untuk melakukannya. Selain itu turut terlibatnya beberapa investor besar lainnya dalam memiliki token CRV dengan jumlah yang relatif cukup signifikan dapat semakin mengurangi single point of failure yang ada pada ekosistem Curve Finance, mengingat institusi saat ini masih merupakan motor penggerak utama dalam dieksekusinya inisiatif atau proposal inovasi dalam proyek crypto secara umum.
Dengan volume perdagangan harian token CRV berada pada kisaran angka di atas $60 juta saat ini, potensi tekanan jual dari hacker sebesar $12,8 juta dapat dikatakan tidak akan terlalu signifikan kalaupun hal itu terjadi nantinya. Selain itu, kalaupun dana yang saat ini berada pada penguasaan hacker tersebut tidak dapat ditarik kembali, kepemilikan token CRV tim pengembang (alokasi token core team), sudah lebih dari cukup untuk menutupi kekurangan dana dari 70% lebih yang telah berhasil didapatkan kembali untuk memberikan reimbursement secara penuh kepada para pengguna Curve Finance yang kehilangan aset kripto akibat serangan tersebut.
Sebagai kesimpulan, situasi yang terjadi dapat dikatakan cukup merugikan bagi tim Curve Finance, khususnya Michael Egorov, namun situasi yang terjadi setelahnya secara umum dapat dikatakan justru menempatkan Curve Finance dan Curve DAO pada situasi yang lebih baik untuk semakin berkembang kedepannya.