Die Folgen des Curve Finance Hack
Die dezentrale Finanzierung (DeFi) hat die Branche einen weiteren erheblichen Rückschlag erlitten. Kurvenfinanzierung, ein Prominenter DeFi Das Protokoll wurde am 30. Juli ausgenutzt, was zu Verlusten von über 47 Millionen US-Dollar führte. Dieser Vorfall war eine Folge einer Wiedereintrittsschwachstelle in den Vyper-Versionen 0.2.15, 0.2.16 und 0.3.0, die mehrere stabile Pools auf Curve Finance nutzten.
Die Sicherheitslücke
Die Hauptursache für den Exploit war eine Fehlfunktion der Wiedereintrittssperren bestimmter Versionen von Vyper, einer vertragsorientierten, pythonischen Programmiersprache, die auf die Ethereum Virtual Machine (EVM) abzielt. Diese Programmiersprache ist eine bevorzugte Wahl für Python-Entwickler, die auf Python umsteigen Web3 aufgrund seiner Ähnlichkeit mit Python.
Die erste Untersuchung ergab, dass diese Vyper-Compiler-Versionen den Wiedereintrittsschutz nicht korrekt implementieren. Wiedereintrittsangriffe treten auf, wenn ein Vertrag gesperrt ist, wodurch verhindert wird, dass mehrere Funktionen gleichzeitig ausgeführt werden. Bei unsachgemäßer Umsetzung kann dies möglicherweise dazu führen, dass einem Vertrag sämtliche Mittel entzogen werden. Ancilia, ein Sicherheitsunternehmen, hat 136 Verträge identifiziert Vyper 0.2.15, 98 Verträge mit Vyper 0.2.16 und 226 Verträge mit Vyper 0.3.0 mit Wiedereintrittsschutz.
Kurven-Hack
. DeFi Projekte waren von diesem Exploit betroffen, was zu erheblichen Abflüssen führte. Zum Beispiel, Ellipse, eine dezentrale Börse, berichtete, dass einige stabile Pools mit BNB mit einem alten Vyper-Compiler ausgenutzt wurden. Die alETH-ETH von Alchemix verzeichnete einen Abfluss von 13.6 Millionen US-Dollar. Der pETH-ETH-Pool von JPEGd wurde für 11.4 Millionen US-Dollar ausgenutzt, und der sETH-ETH-Pool von Metronome verlor 1.6 Millionen US-Dollar.
Eine Reihe stabiler Pools (alETH/msETH/pETH), die Vyper 0.2.15 verwenden, wurden aufgrund einer fehlerhaften Wiedereintrittssperre ausgenutzt. Wir bewerten die Situation und werden die Community über die weitere Entwicklung informieren.
- Kurvenfinanzierung (@CurveFinance) 30. Juli 2023
Andere Pools sind sicher. https://t.co/eWy2d3cDDj
Nach diesen Angriffen Michael Egorow, der CEO von Curve Finance, bestätigte, dass über 32 Millionen CRV-Token im Wert von mehr als 22 Millionen US-Dollar aus dem Swap-Pool abgezogen wurden. Diese Bestätigung erfolgte im Zuge einer Panik auf der ganzen Welt DeFi Ökosystem, was zu zahlreichen Transaktionen zwischen Pools und einer Rettungsaktion durch White Hats führte.
CoinMarketCap Daten zeigen, dass der Utility-Token Curve DAO (CRV) von Curve Finance als Reaktion auf die Nachricht um über 5 % fiel. Die Liquidität von CRV ist in den letzten Monaten deutlich zurückgegangen, was es anfällig für heftige Preisschwankungen macht.
Trotz des erheblichen Schadens versicherte Curve Finance, dass crvUSD-Verträge und alle damit verbundenen Pools von dem Exploit nicht betroffen seien. Nach dem Hack bestätigte Curve Finance den Vorfall und gab zu, dass sie den Pool nicht rechtzeitig sichern konnten. Eine einzelne im Etherscan sichtbare Transaktion bestätigte den Exploit.
Kontext
Dieser Exploit ist der jüngste in einer Reihe von Vorfällen, die auf Curve Finance abzielen. Nur wenige Tage zuvor hatte ein Angreifer die Omnipool-Plattform von ausgenutzt Konische Finanzenund machte sich mit 3.26 Millionen US-Dollar in Ether (ETH) davon. Der Täter überwies in einer schnellen Transaktion fast den gesamten gestohlenen Betrag an eine neue Ethereum-Adresse.
Wir untersuchen derzeit einen Exploit im Zusammenhang mit dem ETH Omnipool und werden Updates veröffentlichen, sobald diese verfügbar sind.
— Conic Finance (@ConicFinance) 21. Juli 2023
Der Curve Finance-Hack ist Teil eines umfassenderen Angriffsmusters auf DeFi Protokolle. Laut einem Bericht der Web3 Portfolio-App, De.Fi, DeFi Allein im zweiten Quartal 204 verursachten Hacks und Betrügereien Verluste in Höhe von über 2023 Millionen US-Dollar.
Rückzahlung & Rückgabe
Als Folge des Vorfalls handelte der Curve-Gründer umgehend, zahlte 4.63 Mio. USDT zurück und zahlte 16 Mio. CRV (entspricht 10.12 Mio. USD) ein Aave. Derzeit verfügt er über eine Sicherheit von 293 Mio. CRV (im Wert von 181 Mio. USD) und eine Verschuldung von 59.68 Mio. USDT bei Aave, mit einer Gesundheitsquote von 1.69.
In einer unerwarteten Wendung der Ereignisse wurde ein Krypto-Benutzer benannt c0ffeebabe.eth gab 2,879 ETH (ca. 5.4 Millionen US-Dollar) an den Curve-Betreiber zurück. Dieses Ereignis hat einen Teil des durch den Hack verursachten Verlusts gemildert.
Rückgabetransaktion auf Etherscan
Nach der #Kurve wurde gehackt, der Gründer von #curvefi 4.63 Mio. zurückgezahlt $ USD und 16 Mio. eingezahlt $ CRV ($10.12M) auf #Ave.
– Lookonchain (@lookonchain) 31. Juli 2023
Er hat derzeit 293 Millionen $ CRV (181 Mio. USD) an Sicherheiten und 59.68 Mio. USD $ USD der Schulden auf #Ave, mit einer Gesundheitsrate von 1.69.https://t.co/stkFvDrlnv pic.twitter.com/tzYlt9Vmfk
Die Folgen
Die Ermittler ermittelten außerdem die Adressen der Hacker und die Höhe der im Zusammenhang mit dem Curve-Hack veruntreuten Gelder. Der bisher ausgebeutete Gesamtbetrag beläuft sich auf rund 52 Millionen US-Dollar.
Adressen des Hackers:
- 0xdce5d6b41c32f578f875efffc0d422c57a75d7d8: 7,259 ETH ($13.5M), related to AlchemixFi
- 0x6ec21d1868743a44318c3c259a6d4953f9978538
Aus diesen Ereignissen geht hervor, dass DeFi Protokolle sind zwar vielversprechend, haben aber dennoch ihre Schwachstellen. Sowohl Protokolle als auch Benutzer sollten bei der Implementierung und Befolgung der besten Sicherheitspraktiken wachsam und proaktiv bleiben.
Beispiellose Ereignisse
Es war tatsächlich ein verrückter Tag im Krypto-Bereich. Während viele Krypto-Enthusiasten auf Base spielten, kam es zum Curve-Hack, bei dem 32 Millionen CRV-Tokens in den Händen des Hackers blieben. Noch schockierender war die Möglichkeit einer CRV-Liquidation im Wert von 100 Millionen US-Dollar bei Aave für 0.42 US-Dollar, obwohl der Gründer Anstrengungen unternommen hat, die Schulden zurückzuzahlen.
Verrückter Tag in Krypto.
— Ignas | DeFi Forschung (@DefiIgnas) 30. Juli 2023
Während Degens auf Base wetten, wird Curve mit 32 Millionen CRV-Tokens in den Händen des Hackers gehackt.
Was noch schlimmer ist, es gibt eine CRV-Liquidation im Wert von 100 Millionen US-Dollar bei Aave für 0.42 US-Dollar, aber der Gründer zahlt derzeit die Schulden zurück.
🤞 pic.twitter.com/9s0JSrNYgt
Kurven-Hack Analyse
Während sich der Staub um den Curve-Finance-Hack gelegt hat, werden die vollen Auswirkungen auf das Ökosystem deutlich. Der Angriff versetzte der Bevölkerung einen schweren Schlag DeFi Ökosystem, insbesondere mit Auswirkungen auf die Token, die direkte Folgen hatten. Beispielsweise verloren mehrere Token durch den CRV-Exploit über 30 % ihres Wertes.
Die schnelle Reaktion des Curve-Gründers, einen Teil der verlorenen Gelder zurückzuzahlen, und die unerwartete Rückgabe der Gelder durch einen Dritten sowie die ironische Wendung, dass der Hacker die gestohlenen Gelder verliert, haben die Situation etwas entschärft. Dennoch dient der Vorfall als Erinnerung an die potenziellen Schwachstellen in Smart Contracts und darüber hinaus DeFi Raum.
Es ist wichtig für Projekte innerhalb der DeFi Raum, um kontinuierlich in Sicherheitsmaßnahmen zu investieren, ihre Smart Contracts zu prüfen und Notfallpläne für mögliche Exploits zu erstellen. Benutzer müssen außerdem wachsam sein und die Risikofaktoren berücksichtigen, wenn sie mit ihnen interagieren DeFi Plattformen.
Der Curve Finance-Hack ist eine deutliche Erinnerung daran, dass das innovative und lukrative Potenzial des DeFi Auch dieser Sektor birgt erhebliche Risiken. Mit der Reife des Sektors besteht die Erwartung, dass Entwickler und Organisationen robuste Sicherheitsmaßnahmen als Standardpraxis einführen und so die Wahrscheinlichkeit solcher Exploits in der Zukunft ausschließen.
Mehr lesen:
- 16 beste Universitäten für Metaverse und Web3: Bildung, Forschung
- 50 Beste NFT Marktplätze für Kreative: Ultimative Liste 2022
- Top 7 NFT Newsletter-Dienste, die Sie jetzt abonnieren können
Haftungsausschluss
Im Einklang mit der Richtlinien des Trust-ProjektsBitte beachten Sie, dass die auf dieser Seite bereitgestellten Informationen nicht als Rechts-, Steuer-, Anlage-, Finanz- oder sonstige Beratung gedacht sind und nicht als solche interpretiert werden sollten. Es ist wichtig, nur so viel zu investieren, wie Sie sich leisten können, zu verlieren, und im Zweifelsfall eine unabhängige Finanzberatung einzuholen. Für weitere Informationen empfehlen wir einen Blick auf die Allgemeinen Geschäftsbedingungen sowie die Hilfe- und Supportseiten des Herausgebers oder Werbetreibenden. MetaversePost ist einer genauen, unvoreingenommenen Berichterstattung verpflichtet, die Marktbedingungen können sich jedoch ohne Vorankündigung ändern.
Über den Autor
Nik ist ein versierter Analyst und Autor bei Metaverse Post, spezialisiert auf die Bereitstellung modernster Einblicke in die schnelllebige Welt der Technologie, mit besonderem Schwerpunkt auf KI/ML, XR, VR, On-Chain-Analyse und Blockchain-Entwicklung. Seine Artikel fesseln und informieren ein vielfältiges Publikum und helfen ihm, technologisch immer einen Schritt voraus zu sein. Nik verfügt über einen Master-Abschluss in Wirtschaftswissenschaften und Management und verfügt über ein fundiertes Gespür für die Nuancen der Geschäftswelt und deren Überschneidung mit neuen Technologien.
Weitere ArtikelNik ist ein versierter Analyst und Autor bei Metaverse Post, spezialisiert auf die Bereitstellung modernster Einblicke in die schnelllebige Welt der Technologie, mit besonderem Schwerpunkt auf KI/ML, XR, VR, On-Chain-Analyse und Blockchain-Entwicklung. Seine Artikel fesseln und informieren ein vielfältiges Publikum und helfen ihm, technologisch immer einen Schritt voraus zu sein. Nik verfügt über einen Master-Abschluss in Wirtschaftswissenschaften und Management und verfügt über ein fundiertes Gespür für die Nuancen der Geschäftswelt und deren Überschneidung mit neuen Technologien.