Efterdønningerne af Curve Finance Hack
Den decentraliserede finansiering (DeFi) industri har stået over for endnu et betydeligt tilbageslag. Curve Finance, en fremtrædende DeFi protokol, blev udnyttet den 30. juli, hvilket førte til tab på over 47 millioner dollars. Denne hændelse var en konsekvens af en genindtræden-sårbarhed i Vyper-versionerne 0.2.15, 0.2.16 og 0.3.0, som flere stabile puljer på Curve Finance brugte.
Sårbarheden
Den primære årsag til udnyttelsen var en funktionsfejl i reentrancy-låsene til specifikke versioner af Vyper, et kontraktorienteret, pytonisk programmeringssprog, der er rettet mod Ethereum Virtual Machine (EVM). Dette programmeringssprog er et foretrukket valg for Python-udviklere, der skifter til Web3 på grund af dens lighed med Python.
Den indledende undersøgelse afslører, at disse Vyper-kompilerversioner ikke implementerer reentrancy-vagten korrekt. Reentrancy-angreb opstår, når en kontrakt er låst, hvilket forhindrer flere funktioner i at blive udført samtidigt. Hvis det ikke implementeres korrekt, kan dette potentielt dræne alle midler fra en kontrakt. Ancilia, et sikkerhedsfirma, har identificeret 136 kontrakter ved hjælp af Vyper 0.2.15, 98 kontrakter, der bruger Vyper 0.2.16, og 226 kontrakter, der bruger Vyper 0.3.0 med genindtræden.
Curve Hack
Adskillige DeFi projekter blev påvirket af denne udnyttelse, hvilket førte til betydelige udstrømninger. For eksempel, ellipse, en decentral udveksling, rapporterede, at nogle få stabile pools med BNB blev udnyttet ved hjælp af en gammel Vyper-kompiler. Alchemix' alETH-ETH oplevede en udstrømning på $13.6 millioner. JPEGds pETH-ETH-pulje blev udnyttet for 11.4 millioner dollars, og Metronomes sETH-ETH-pulje tabte 1.6 millioner dollars.
En række stablepools (alETH/msETH/pETH) ved hjælp af Vyper 0.2.15 er blevet udnyttet som følge af en funktionsfejl ved genindgangslås. Vi vurderer situationen og vil opdatere samfundet, efterhånden som tingene udvikler sig.
- Curve Finance (@CurveFinance) Juli 30, 2023
Andre pools er sikre. https://t.co/eWy2d3cDDj
Efter disse angreb, Michael Egorov, CEO for Curve Finance, bekræftede, at over 32 millioner CRV-tokens til en værdi af mere end $22 millioner var blevet drænet fra swappuljen. Denne bekræftelse kom i kølvandet på en panik på tværs af DeFi økosystem, hvilket fører til adskillige transaktioner på tværs af pools og en redningsaktion med hvide hatte.
CoinMarketCap data viser, at Curve Finances utility token Curve DAO (CRV) faldt over 5% som reaktion på nyheden. Likviditeten i CRV er faldet markant i de seneste måneder, hvilket gør den tilbøjelig til voldsomme prisudsving.
På trods af den betydelige skade forsikrede Curve Finance, at crvUSD-kontrakter og eventuelle puljer forbundet med det ikke var påvirket af udnyttelsen. I kølvandet på hacket bekræftede Curve Finance hændelsen og indrømmede, at de ikke kunne sikre poolen i tide. En enkelt transaktion synlig på Etherscan bekræftede udnyttelsen.
Kontekst
Denne udnyttelse kommer som den seneste i en række af hændelser rettet mod Curve Finance. Kun få dage tidligere udnyttede en angriber omnipool-platformen Conic Finance, og tjente med $3.26 millioner i Ether (ETH). Gerningsmanden overførte næsten hele det stjålne beløb til en ny Ethereum-adresse i en hurtig transaktion.
Vi er i øjeblikket ved at undersøge en udnyttelse, der involverer ETH Omnipool, og vil dele opdateringer, så snart de er tilgængelige.
— Conic Finance (@ConicFinance) Juli 21, 2023
Curve Finance hacket er en del af et bredere mønster af angreb på DeFi protokoller. Ifølge en rapport fra Web3 portfolio app, De.Fi, DeFi hacks og scams tegnede sig for over $204 millioner i tab i blot andet kvartal af 2023.
Tilbagebetaling & retur
Som et resultat af hændelsen handlede Curve-grundlæggeren omgående og tilbagebetalte 4.63 mio. USDT og indsatte 16 mio. CRV (svarende til 10.12 mio. USD) på Aave. I øjeblikket har han en sikkerhed på 293 mio. CRV (vurderet til $181 mio.) og en gæld på 59.68 mio. USDT på Aave med en sundhedsrate på 1.69.
I en uventet vending af begivenheder, navngav en kryptobruger c0ffeebabe.eth returnerede 2,879 ETH (ca. $5.4 mio.) til Curve-udvikleren. Denne begivenhed har afbødet noget af tabet forårsaget af hacket.
Efter #Kurve blev hacket, grundlæggeren af #Kurvefi tilbagebetalt 4.63 mio $ USDT og deponerede 16 mio $ CRV ($10.12 mio.) på #Aave.
— Lookonchain (@lookonchain) Juli 31, 2023
Han har i øjeblikket 293 mio $ CRV ($181 mio.) i sikkerhed og 59.68 mio $ USDT af gæld på #Aave, med en helbredsrate på 1.69.https://t.co/stkFvDrlnv pic.twitter.com/tzYlt9Vmfk
The Aftermath
Efterforskere identificerede også hackerens adresser og mængden af midler, der blev udnyttet i forhold til Curve-hacket. Det samlede beløb, der hidtil er udnyttet, er omkring 52 millioner dollars.
Hackerens adresser:
- 0xdce5d6b41c32f578f875efffc0d422c57a75d7d8: 7,259 ETH ($13.5M), related to AlchemixFi
- 0x6ec21d1868743a44318c3c259a6d4953f9978538
Ud fra disse begivenheder er det tydeligt DeFi protokoller, selvom de lover, har de stadig deres sårbarheder. Både protokoller og brugere bør forblive årvågne og proaktive med at implementere og følge den bedste sikkerhedspraksis.
Begivenheder uden fortilfælde
Det har virkelig været en vanvittig dag i krypto. Mens mange krypto-entusiaster spillede på Base, fandt Curve-hacket sted, hvilket efterlod 32M CRV-tokens i hænderne på hackeren. Endnu mere chokerende var potentialet for en $100M CRV-likvidation på Aave til $0.42 USD, selvom grundlæggeren har gjort en indsats for at tilbagebetale gælden.
Skør dag i krypto.
— Ignas | DeFi Forskning (@DefiIgnas) Juli 30, 2023
Mens degens gambler på Base, bliver Curve hacket med 32M CRV-tokens i hænderne på hackeren.
Hvad værre er, er der en $100M CRV-likvidation på Aave til $0.42 USD, men grundlæggeren er i øjeblikket ved at tilbagebetale gælden.
🤞 pic.twitter.com/9s0JSrNYgt
Curve Hack Analyse
Efterhånden som støvet lægger sig på Curve Finance-hacket, bliver den fulde indflydelse på økosystemet tydelig. Angrebet slog et hårdt slag mod DeFi økosystem, hvilket især påvirker de tokens, der led direkte konsekvenser. For eksempel mistede flere tokens over 30 % af deres værdi på grund af CRV-udnyttelsen.
Curve-grundlæggerens hurtige reaktion på at tilbagebetale nogle af de tabte midler og den uventede tilbagebetaling af midler fra en tredjepart, sammen med det ironiske twist af hackeren, der mistede de stjålne midler, har mildnet situationen en smule. Alligevel tjener hændelsen som en påmindelse om de potentielle sårbarheder inden for smarte kontrakter og det bredere DeFi plads.
Det er vigtigt for projekter inden for DeFi plads til løbende at investere i sikkerhedsforanstaltninger, auditere deres smarte kontrakter og oprette beredskabsplaner for mulige udnyttelser. Brugere skal også være på vagt og overveje risikofaktorerne, når de interagerer med DeFi platforme.
Curve Finance-hacket er en skarp påmindelse om, at det innovative og høje belønningspotentiale DeFi sektoren er også forbundet med betydelig risiko. Med sektorens modning er forventningen, at udviklere og organisationer vil vedtage robuste sikkerhedsforanstaltninger som standardpraksis, og derved udelukke sandsynligheden for sådanne udnyttelser i fremtiden.
Læs mere:
- 16 bedste universiteter for Metaverse og Web3: Uddannelse, Forskning
- 50 Best NFT Markedspladser for skabere: Ultimate List 2022
- Top 7 NFT Nyhedsbrevstjenester at abonnere på lige nu
Ansvarsfraskrivelse
I tråd med den Trust Project retningslinjer, bemærk venligst, at oplysningerne på denne side ikke er beregnet til at være og ikke skal fortolkes som juridiske, skattemæssige, investeringsmæssige, finansielle eller nogen anden form for rådgivning. Det er vigtigt kun at investere, hvad du har råd til at tabe, og at søge uafhængig finansiel rådgivning, hvis du er i tvivl. For yderligere information foreslår vi at henvise til vilkårene og betingelserne samt hjælpe- og supportsiderne fra udstederen eller annoncøren. MetaversePost er forpligtet til nøjagtig, objektiv rapportering, men markedsforholdene kan ændres uden varsel.
Om forfatteren
Nik er en dygtig analytiker og skribent på Metaverse Post, med speciale i at levere banebrydende indsigt i den hurtige teknologiverden med særlig vægt på AI/ML, XR, VR, on-chain analytics og blockchain-udvikling. Hans artikler engagerer og informerer et mangfoldigt publikum og hjælper dem med at være på forkant med den teknologiske kurve. Med en kandidatgrad i økonomi og ledelse har Nik et solidt greb om nuancerne i erhvervslivet og dens skæringspunkt med nye teknologier.
Flere artiklerNik er en dygtig analytiker og skribent på Metaverse Post, med speciale i at levere banebrydende indsigt i den hurtige teknologiverden med særlig vægt på AI/ML, XR, VR, on-chain analytics og blockchain-udvikling. Hans artikler engagerer og informerer et mangfoldigt publikum og hjælper dem med at være på forkant med den teknologiske kurve. Med en kandidatgrad i økonomi og ledelse har Nik et solidt greb om nuancerne i erhvervslivet og dens skæringspunkt med nye teknologier.