تداعيات المنحنى المالي هاك
التمويل اللامركزي (DeFi) واجهت الصناعة نكسة كبيرة أخرى. منحنى المالية، بارز DeFi وتم استغلال البروتوكول في 30 يوليو الماضي، مما أدى إلى خسائر تجاوزت 47 مليون دولار. كانت هذه الحادثة نتيجة لثغرة أمنية متعلقة بالعودة في إصدارات Vyper 0.2.15 و 0.2.16 و 0.3.0 التي كانت تستخدمها العديد من المجمعات الثابتة في Curve Finance.
الضعف
كان السبب الرئيسي للاستغلال هو حدوث خلل في أقفال إعادة الدخول لإصدارات معينة من Vyper ، وهي لغة برمجة ثعبية موجهة نحو العقد تستهدف آلة Ethereum Virtual Machine (EVM). لغة البرمجة هذه هي الخيار المفضل لمطوري Python الذين ينتقلون إليها Web3 بسبب تشابهها مع بايثون.
يكشف التحقيق الأولي أن إصدارات مترجم Vyper هذه لا تطبق حارس reentrancy بشكل صحيح. تحدث هجمات Reentrancy عندما يتم تأمين العقد ، مما يمنع تنفيذ وظائف متعددة بشكل متزامن. إذا لم يتم تنفيذه بشكل صحيح ، فمن المحتمل أن يؤدي ذلك إلى استنزاف جميع الأموال من العقد. أنسيليا ، شركة أمنية ، حددت استخدام 136 عقدًا Vyper 0.2.15 ، و 98 عقدًا باستخدام Vyper 0.2.16 ، و 226 عقدًا باستخدام Vyper 0.3.0 مع حماية إعادة الدخول.
منحنى هاك
عدة DeFi وقد تأثرت المشاريع بهذا الاستغلال، مما أدى إلى تدفقات خارجية كبيرة. على سبيل المثال، القطع، وهي بورصة لامركزية ، ذكرت أنه تم استغلال عدد قليل من المجمعات المستقرة مع BNB باستخدام مترجم Vyper قديم. شهدت Alchemix's alETH-ETH تدفقات خارجية بقيمة 13.6 مليون دولار. تم استغلال تجمع JPEGd's pETH-ETH مقابل 11.4 مليون دولار ، وخسر مجمع Metronome sETH-ETH 1.6 مليون دولار.
تم استغلال عدد من فترات الاستقرار (alETH / msETH / pETH) باستخدام Vyper 0.2.15 نتيجة لقفل إعادة الدخول المعطل. نحن نقوم بتقييم الوضع وسنقوم بتحديث المجتمع مع تطور الأمور.
- كيرف فاينانس (CurveFinance) 30 تموز، 2023
حمامات السباحة الأخرى آمنة. https://t.co/eWy2d3cDDj
بعد هذه الهجمات ، مايكل إيجوروفأكد الرئيس التنفيذي لشركة Curve Finance أنه تم استنزاف أكثر من 32 مليون رمز CRV بقيمة تزيد عن 22 مليون دولار من مجمع المقايضة. وجاء هذا التأكيد في أعقاب حالة من الذعر في أنحاء البلاد DeFi النظام البيئي، مما يؤدي إلى العديد من المعاملات عبر المجمعات وعمليات الإنقاذ التي تقوم بها القبعات البيضاء.
CoinMarketCap تُظهر البيانات أن المنحنى DAO (CRV) الخاص بـ Curve Finance قد انخفض بنسبة 5٪ كرد فعل للأخبار. انخفضت سيولة CRV بشكل كبير في الأشهر الأخيرة ، مما يجعلها عرضة لتقلبات الأسعار العنيفة.
على الرغم من الضرر الكبير ، أكدت Curve Finance أن عقود crvUSD وأي مجموعات مرتبطة بها لم تتأثر بالاستغلال. في أعقاب الاختراق ، أكدت شركة Curve Finance الحادثة واعترفت بأنها لم تتمكن من تأمين المجمع في الوقت المناسب. أكدت صفقة واحدة مرئية على Etherscan الاستغلال.
السياق
يأتي هذا الاستغلال باعتباره الأحدث في سلسلة من الحوادث التي تستهدف Curve Finance. قبل أيام قليلة فقط ، استغل أحد المهاجمين منصة omnipool الخاصة بـ كونيك للتمويل، بجني 3.26 مليون دولار في إيثر (ETH). قام الجاني بتحويل المبلغ المسروق بالكامل تقريبًا إلى عنوان Ethereum جديد في معاملة سريعة واحدة.
نحن نحقق حاليًا في استغلال يتضمن ETH Omnipool وسنشارك التحديثات بمجرد توفرها.
- Conic Finance (ConicFinance) 21 تموز، 2023
يعد اختراق Curve Finance جزءًا من نمط أوسع من الهجمات على DeFi البروتوكولات. وفقا لتقرير من Web3 تطبيق المحفظة De.Fi, DeFi وتسببت عمليات الاختراق والاحتيال في خسائر تزيد عن 204 ملايين دولار في الربع الثاني فقط من عام 2023.
السداد والعودة
نتيجة للحادث ، تصرف مؤسس Curve على الفور وسدد 4.63 مليون دولار أمريكي وأودع 16 مليون CRV (ما يعادل 10.12 مليون دولار أمريكي) في Aave. حاليًا ، لديه ضمان بقيمة 293 مليونًا من CRV (بقيمة 181 مليون دولار) وديون بقيمة 59.68 مليون دولار أمريكي على Aave ، بمعدل صحي يبلغ 1.69.
في تحول غير متوقع للأحداث ، تم تسمية مستخدم تشفير باسم c0ffeebabe.eth أعاد 2,879،5.4 ETH (حوالي XNUMX مليون دولار أمريكي) إلى أداة نشر Curve. أدى هذا الحدث إلى التخفيف من بعض الخسائر الناجمة عن الاختراق.
بعد #منحنى تم اختراقه ، مؤسس # كرفت تم سداده 4.63 م $ USDT وأودع 16 مليون CRV دولار (10.12 مليون دولار) على # حفظ.
- Lookonchain (lookonchain) 31 تموز، 2023
لديه حاليًا 293 مليونًا CRV دولار (181 مليون دولار) من الضمانات و 59.68 مليون دولار $ USDT من الديون على # حفظ، بمعدل صحة 1.69.https://t.co/stkFvDrlnv pic.twitter.com/tzYlt9Vmfk
بعد
حدد المحققون أيضًا عناوين المتسلل ومقدار الأموال المستغلة فيما يتعلق باختراق Curve. المبلغ الإجمالي المستغل حتى الآن حوالي 52 مليون دولار.
عناوين الهاكر:
- 0xdce5d6b41c32f578f875efffc0d422c57a75d7d8: 7,259 ETH ($13.5M), related to AlchemixFi
- 0x6ec21d1868743a44318c3c259a6d4953f9978538
من هذه الأحداث ، يتضح ذلك DeFi على الرغم من أن البروتوكولات واعدة، إلا أنها لا تزال تعاني من نقاط ضعفها. ينبغي للبروتوكولات والمستخدمين على حد سواء أن يظلوا يقظين واستباقيين في تنفيذ ومتابعة أفضل الممارسات الأمنية.
أحداث غير مسبوقة
لقد كان بالفعل يومًا مجنونًا في التشفير. بينما كان العديد من المتحمسين للعملات المشفرة يلعبون على Base ، حدث اختراق Curve ، مما ترك 32M CRV في أيدي المتسلل. وكان الأمر الأكثر إثارة للصدمة هو احتمال تصفية CRV بقيمة 100 مليون دولار على Aave عند 0.42 دولار أمريكي ، على الرغم من أن المؤسس كان يبذل جهودًا لسداد الديون.
يوم مجنون في التشفير.
- اغناس | DeFi بحث (@Defiإغناس) 30 تموز، 2023
أثناء قيام degens بالمقامرة على Base ، يتم اختراق Curve برموز 32M CRV في أيدي المخترق.
ما هو أسوأ من ذلك ، هناك تصفية CRV بقيمة 100 مليون دولار على Aave بسعر 0.42 دولار أمريكي ، لكن المؤسس يقوم حاليًا بسداد الدين.
🤞 pic.twitter.com/9s0JSrNYgt
منحنى هاك تحليل الأداء
مع انتهاء غبار اختراق شركة Curve Finance، أصبح التأثير الكامل على النظام البيئي واضحًا. ضرب الهجوم ضربة قوية ل DeFi النظام البيئي ، وخاصة التأثير على الرموز المميزة التي عانت من عواقب مباشرة. على سبيل المثال ، فقدت العديد من الرموز المميزة أكثر من 30٪ من قيمتها بسبب استغلال CRV.
الاستجابة السريعة من قبل مؤسس Curve لسداد بعض الأموال المفقودة والعودة غير المتوقعة للأموال من قبل طرف ثالث ، جنبًا إلى جنب مع التحريف المفارقة لخسارة المخترق للأموال المسروقة ، قد خففت قليلاً من الموقف. ومع ذلك، فإن الحادث بمثابة تذكير بنقاط الضعف المحتملة في العقود الذكية وعلى نطاق أوسع DeFi الفضاء.
من المهم للمشاريع داخل DeFi مساحة للاستثمار المستمر في التدابير الأمنية، ومراجعة عقودهم الذكية، وإنشاء خطط طوارئ لاستغلال الثغرات المحتملة. يجب على المستخدمين أيضًا توخي الحذر والنظر في عوامل الخطر عند التفاعل معها DeFi المنصات.
يعد اختراق Curve Finance بمثابة تذكير صارخ بأن الإمكانات المبتكرة والمكافأة العالية التي يتمتع بها DeFi يأتي هذا القطاع أيضًا مع مخاطر كبيرة. مع نضوج القطاع ، من المتوقع أن يتبنى المطورون والمؤسسات تدابير أمنية قوية كممارسة معيارية ، وبالتالي استبعاد احتمال حدوث مثل هذه الاستغلال في المستقبل.
اقرأ أكثر:
- 16 أفضل الجامعات لـ Metaverse و Web3: التعليم والبحث
- 50 أفضل NFT أسواق للمبدعين: Ultimate List 2022
- أعلى 7 NFT خدمات النشرة الإخبارية للاشتراك الآن
إخلاء المسئولية
تتماشى مع المبادئ التوجيهية لمشروع الثقةيرجى ملاحظة أن المعلومات المقدمة في هذه الصفحة ليس المقصود منها ولا ينبغي تفسيرها على أنها نصيحة قانونية أو ضريبية أو استثمارية أو مالية أو أي شكل آخر من أشكال المشورة. من المهم أن تستثمر فقط ما يمكنك تحمل خسارته وأن تطلب مشورة مالية مستقلة إذا كانت لديك أي شكوك. لمزيد من المعلومات، نقترح الرجوع إلى الشروط والأحكام بالإضافة إلى صفحات المساعدة والدعم المقدمة من جهة الإصدار أو المعلن. MetaversePost تلتزم بتقارير دقيقة وغير متحيزة، ولكن ظروف السوق عرضة للتغيير دون إشعار.
نبذة عن الكاتب
نيك محلل وكاتب بارع في Metaverse Post، متخصص في تقديم رؤى متطورة في عالم التكنولوجيا سريع الخطى ، مع التركيز بشكل خاص على AI / ML و XR و VR والتحليلات على السلسلة وتطوير blockchain. تتفاعل مقالاته مع جمهور متنوع وتعلمها ، مما يساعدهم على البقاء في صدارة المنحنى التكنولوجي. بفضل حصوله على درجة الماجستير في الاقتصاد والإدارة ، يتمتع نيك بفهم قوي للفروق الدقيقة في عالم الأعمال وتقاطعاته مع التقنيات الناشئة.
المزيد من المقالاتنيك محلل وكاتب بارع في Metaverse Post، متخصص في تقديم رؤى متطورة في عالم التكنولوجيا سريع الخطى ، مع التركيز بشكل خاص على AI / ML و XR و VR والتحليلات على السلسلة وتطوير blockchain. تتفاعل مقالاته مع جمهور متنوع وتعلمها ، مما يساعدهم على البقاء في صدارة المنحنى التكنولوجي. بفضل حصوله على درجة الماجستير في الاقتصاد والإدارة ، يتمتع نيك بفهم قوي للفروق الدقيقة في عالم الأعمال وتقاطعاته مع التقنيات الناشئة.