Saddle Finance在项目上线后短短6分钟内就遭遇了严重的套利攻击。数据显示,三笔主要套利交易在极短时间内从流动性池中抽走了7.9个BTC(约合275,735美元)。其中最大一笔套利达到4.01 BTC(139,961美元),随后又发生了0.79 BTC和3.11 BTC的套利交易。
面对用户损失,项目团队给出的解释令人失望。他们声称"早期交易的执行滑点很高",并将责任推给用户"可能没有注意到高滑点警告"。随后团队仅在前端更新了更明显的滑点警告,并未从根本上解决问题。
这场突如其来的套利风暴让早期流动性提供者措手不及。许多在上线一小时内参与资金池的用户损失惨重,他们现在只能寄希望于流动性挖矿的收益能够弥补这部分损失。值得注意的是,项目创始人Matt Luongo对受损用户表现出的冷漠态度,与分析师Igor Igamberdiev发出的风险警告形成了鲜明对比。
从Curve『搬运』代码,Saddle的『复制粘贴』模式惹了谁?
六个月移植代码却漏洞百出
Saddle Finance花费六个月时间将Curve的Vyper代码移植到Solidity,但最终成果令人失望。Quantstamp审计报告显示,其StableSwap实现存在14个严重级别安全漏洞,且代码文档与最佳实践存在明显偏差。更令人担忧的是,审计人员发现其数学公式实现与原始StableSwap白皮书存在无法解释的差异。
Curve核心开发者怒斥其忽视gas优化
Curve核心开发者Ben Hauser直接批评道:"Saddle代码库的注释中包含了Curve代码库的部分内容来解释其工作原理,甚至直接建议'检查curve.fi的实现'。他们显然不关心我的gas优化工作,或者根本不理解为何能进行这些优化。"这种对底层机制缺乏深入理解的态度,为项目埋下了隐患。
重写代码导致升级维护成本剧增
Valentin Mihov指出关键问题:"在开源世界中,选择重写而非分叉意味着重大代价。当Curve协议新增功能时,Saddle必须耗费大量时间重新实现,而无法直接合并更新。"这种技术决策显著提高了长期维护成本,TG管理员Ivangbi讽刺道:"这就像不是直接复制书籍,而是翻译成英文再加两张图片。"
审计报告14处漏洞未修复,Saddle的代码安全靠谁保障?
Quantstamp审计揪出致命漏洞
专业审计机构Quantstamp在对Saddle Finance的StableSwap实现进行安全审查时,发现了14个严重级别的安全漏洞。值得注意的是,该项目代码是从Curve Finance合约复制而来,审计报告还指出了与规范文档的偏差以及最佳实践问题。更令人担忧的是,由于文档质量低下,审计人员甚至无法确认开发人员是如何从StableSwap白皮书中推导出某些实现公式的。
测试仅覆盖双币种场景
Quantstamp在审计过程中发现一个重大隐患:当前测试套件中的所有测试仅针对包含2个代币的资金池场景。审计团队强烈建议项目方在部署到生产环境前,必须增加对3个或更多代币场景的测试覆盖,并解决所有已发现的问题。这种测试覆盖不足的情况,为协议的多币种交易场景埋下了安全隐患。
数学公式实现与白皮书存在偏差
审计报告明确指出,Saddle的实际代码实现与原StableSwap白皮书中的数学公式存在明显差异。Quantstamp表示无法理解这些修改是如何从原始论文中的关系推导出来的。这种理论与实践的偏差,加上糟糕的代码文档,使得外界难以评估其修改的合理性和安全性。正如审计报告所述:"我们无法确定开发人员是如何从StableSwap白皮书中导出一些实现公式的"。
VC与媒体联手推波助澜,Saddle背后的资本游戏有多荒诞?
420万美元融资背后的投机逻辑
Saddle Finance这个从Curve直接复制代码的项目,竟然获得了420万美元的融资。这不禁让人质疑:为什么资本会青睐一个毫无创新的分叉项目?如果投资者完全理解Curve背后的数学原理,为何不去支持真正创新的项目?如果不理解,又为何要投资一个模仿品?显然,这些VC将短期利润置于行业进步之上。
媒体收钱发稿的『软文产业链』
更令人担忧的是,部分新旧媒体机构收取Saddle的费用为其进行宣传推广。虽然创业艰难,媒体也需要营收,但这种拿钱发稿的行为严重损害了行业媒体的公信力。当媒体成为资本游戏的推手时,普通投资者将面临更大的信息不对称风险。
veCRV投票削减tBTC池奖励的抗议
由于Saddle创始团队与tBTC项目的密切关系,veCRV持有人通过投票削减tBTC池CRV奖励的方式,表达了对Saddle这种复制粘贴模式的不满。这种社区自发的抵制行为,反映了DeFi领域对创新价值的珍视。当资本与媒体联手推广劣质项目时,真正的建设者会用脚投票。
从『代码剽窃』到信任崩塌,Saddle事件给行业敲响了什么警钟?
1. 分叉项目对行业创新的破坏性
Saddle Finance事件暴露了简单分叉现有项目的致命缺陷。这个获得420万美元融资的项目,仅从Curve复制代码却未带来任何创新价值。更讽刺的是,开发团队花费六个月将代码从Vyper移植到Solidity后,仍出现14个严重漏洞。Curve核心开发者Ben Hauser直接指出:"他们显然不关心gas优化,或者根本不懂如何优化。"这种低水平复制不仅浪费资源,更阻碍了行业真正的技术进步。
2. 机构投资者短视逐利的负面影响
Coinbase等知名VC的投资决策令人质疑。当开发者有足够资金构建创新项目时,机构却选择支持这个零创新的分叉。媒体同样难辞其咎,收取费用为问题项目宣传的行为损害了行业公信力。正如评论指出:"任何支持这个项目的投资者,都把利润看得比进步更重要。"这种短视行为最终导致早期流动性提供者损失27万美元,而VC们却无需承担后果。
3. 开源精神与商业伦理的边界争议
Saddle事件引发了关于开源代码使用界限的深刻讨论。虽然项目方声称"重写"了代码,但Quantstamp审计发现其数学公式实现与原始白皮书存在无法解释的偏差。Valentin Mihov的批评一针见血:"重写代码意味着无法合并原项目的改进,必须持续投入维护成本。"这种既想享受开源红利又不愿遵守社区规范的做法,最终导致veCRV持有人通过削减tBTC池奖励来表达抗议,揭示了商业伦理与开源精神的根本冲突。