The Aftermath of the Curve Finance Hack
Η αποκεντρωμένη χρηματοδότηση (DeFi) η βιομηχανία αντιμετώπισε άλλη μια σημαντική οπισθοδρόμηση. CurveFinance, εξέχουσα DeFi πρωτοκόλλου, αξιοποιήθηκε στις 30 Ιουλίου, οδηγώντας σε ζημίες που ξεπέρασαν τα 47 εκατομμύρια δολάρια. Αυτό το περιστατικό ήταν συνέπεια μιας ευπάθειας επανεισόδου στις εκδόσεις Vyper 0.2.15, 0.2.16 και 0.3.0 που χρησιμοποιούσαν αρκετές σταθερές ομάδες στο Curve Finance.
Το θέμα ευπάθειας
Η κύρια αιτία του exploit ήταν μια δυσλειτουργία στις κλειδαριές επανεισόδου συγκεκριμένων εκδόσεων του Vyper, μιας γλώσσας προγραμματισμού προσανατολισμένης σε συμβόλαια, πύθωνης που στοχεύει την εικονική μηχανή Ethereum (EVM). Αυτή η γλώσσα προγραμματισμού είναι μια προτιμώμενη επιλογή για προγραμματιστές Python που μεταβαίνουν σε Web3 λόγω της ομοιότητάς του με την Python.
Η αρχική έρευνα αποκαλύπτει ότι αυτές οι εκδόσεις μεταγλωττιστή Vyper δεν εφαρμόζουν σωστά την προστασία επανεισόδου. Οι επιθέσεις επανεισόδου συμβαίνουν όταν ένα συμβόλαιο είναι κλειδωμένο, αποτρέποντας την ταυτόχρονη εκτέλεση πολλαπλών λειτουργιών. Εάν δεν εφαρμοστεί σωστά, αυτό μπορεί ενδεχομένως να εξαντλήσει όλα τα χρήματα από μια σύμβαση. Η Ancilia, μια εταιρεία ασφαλείας, έχει εντοπίσει 136 συμβάσεις που χρησιμοποιούν Vyper 0.2.15, 98 συμβόλαια που χρησιμοποιούν Vyper 0.2.16 και 226 συμβόλαια που χρησιμοποιούν Vyper 0.3.0 με προστασία επανεισόδου.
Curve Hack
Διάφοροι DeFi έργα επηρεάστηκαν από αυτή την εκμετάλλευση, οδηγώντας σε σημαντικές εκροές. Για παράδειγμα, αποσιωπητικά, μια αποκεντρωμένη ανταλλαγή, ανέφερε ότι μερικές σταθερές ομάδες με BNB αξιοποιήθηκαν χρησιμοποιώντας έναν παλιό μεταγλωττιστή Vyper. Το alETH-ETH της Alchemix σημείωσε εκροή 13.6 εκατομμυρίων δολαρίων. Η δεξαμενή pETH-ETH της JPEGd αξιοποιήθηκε για 11.4 εκατομμύρια δολάρια και η δεξαμενή sETH-ETH της Metronome έχασε 1.6 εκατομμύρια δολάρια.
Ένας αριθμός stablepools (alETH/msETH/pETH) που χρησιμοποιούν Vyper 0.2.15 έχουν εκμεταλλευτεί ως αποτέλεσμα μιας δυσλειτουργίας κλειδώματος επανεισόδου. Αξιολογούμε την κατάσταση και θα ενημερώσουμε την κοινότητα καθώς εξελίσσονται τα πράγματα.
- Curve Finance (@CurveFinance) Ιούλιος 30, 2023
Άλλες πισίνες είναι ασφαλείς. https://t.co/eWy2d3cDDj
Μετά από αυτές τις επιθέσεις, Μάικλ Έγκοροφ, ο Διευθύνων Σύμβουλος της Curve Finance, επιβεβαίωσε ότι πάνω από 32 εκατομμύρια μάρκες CRV αξίας άνω των 22 εκατομμυρίων δολαρίων είχαν αποστραγγιστεί από το swap pool. Αυτή η επιβεβαίωση ήρθε στον απόηχο ενός πανικού σε όλη την DeFi οικοσύστημα, που οδήγησε σε πολυάριθμες συναλλαγές σε πισίνες και σε επιχείρηση διάσωσης με λευκά καπέλα.
CoinMarketCap Τα δεδομένα δείχνουν ότι το διακριτικό χρησιμότητας Curve DAO (CRV) της Curve Finance μειώθηκε πάνω από 5% ως αντίδραση στα νέα. Η ρευστότητα της CRV έχει μειωθεί σημαντικά τους τελευταίους μήνες, καθιστώντας την επιρρεπή σε βίαιες διακυμάνσεις τιμών.
Παρά τη σημαντική ζημιά, η Curve Finance διαβεβαίωσε ότι τα συμβόλαια crvUSD και τυχόν ομάδες που σχετίζονται με αυτό δεν επηρεάστηκαν από το exploit. Στον απόηχο του χακαρίσματος, η Curve Finance επιβεβαίωσε το περιστατικό και παραδέχτηκε ότι δεν μπόρεσε να εξασφαλίσει την πισίνα εγκαίρως. Μια μεμονωμένη συναλλαγή ορατή στο Etherscan επιβεβαίωσε την εκμετάλλευση.
Πλαίσιο
Αυτό το exploit έρχεται ως το τελευταίο σε μια σειρά περιστατικών που στοχεύουν το Curve Finance. Μόλις λίγες μέρες νωρίτερα, ένας εισβολέας εκμεταλλεύτηκε την πλατφόρμα omnipool του Conic Finance, με 3.26 εκατομμύρια δολάρια σε Ether (ETH). Ο δράστης μετέφερε σχεδόν ολόκληρο το κλεμμένο ποσό σε μια νέα διεύθυνση Ethereum σε μία ταχεία συναλλαγή.
Αυτήν τη στιγμή διερευνούμε μια εκμετάλλευση που αφορά το ETH Omnipool και θα κοινοποιήσουμε ενημερώσεις μόλις είναι διαθέσιμες.
— Conic Finance (@ConicFinance) Ιούλιος 21, 2023
Το Curve Finance hack αποτελεί μέρος ενός ευρύτερου σχεδίου επιθέσεων DeFi πρωτόκολλα. Σύμφωνα με έκθεση από την Web3 εφαρμογή χαρτοφυλακίου, De.Fi, DeFi Οι αμυχές και οι απάτες αντιπροσώπευαν ζημίες άνω των 204 εκατομμυρίων δολαρίων μόλις το δεύτερο τρίμηνο του 2023.
Αποπληρωμή & Επιστροφή
Ως αποτέλεσμα του συμβάντος, ο ιδρυτής του Curve ενήργησε αμέσως και εξόφλησε 4.63 εκατομμύρια USDT και κατέθεσε 16 εκατομμύρια CRV (που ισοδυναμεί με 10.12 εκατομμύρια $) στο Aave. Επί του παρόντος, έχει εξασφαλίσεις 293 εκατομμυρίων CRV (αξίας 181 εκατομμυρίων δολαρίων) και χρέος 59.68 εκατομμυρίων USDT στην Aave, με συντελεστή υγείας 1.69.
Σε μια απροσδόκητη τροπή των γεγονότων, ένας χρήστης κρυπτογράφησης ονομάστηκε c0ffeebabe.eth επέστρεψε 2,879 ETH (περίπου 5.4 εκατομμύρια $) στον προγραμματιστή Curve. Αυτό το συμβάν έχει μετριάσει μέρος της απώλειας που προκλήθηκε από το hack.
Συναλλαγή επιστροφής στο Etherscan
Μετά το #Καμπύλη χακαρίστηκε, ο ιδρυτής του #curvefi εξόφλησε 4.63 εκατ $ USDT και κατέθεσε 16 εκ CRV $ (10.12 εκατομμύρια $) σε # Έχω.
— Lookonchain (@lookonchain) Ιούλιος 31, 2023
Αυτή τη στιγμή έχει 293 εκατ CRV $ (181 εκατ. $) εξασφαλίσεων και 59.68 εκατ $ USDT του χρέους επί # Έχω, με ποσοστό υγείας 1.69.https://t.co/stkFvDrlnv pic.twitter.com/tzYlt9Vmfk
Η Aftermath
Οι ερευνητές εντόπισαν επίσης τις διευθύνσεις του χάκερ και το ποσό των κεφαλαίων που εκμεταλλεύτηκαν σε σχέση με το χακάρισμα του Curve. Το συνολικό ποσό που έχει εκμεταλλευτεί μέχρι στιγμής είναι περίπου 52 εκατομμύρια δολάρια.
Διευθύνσεις χάκερ:
- 0xdce5d6b41c32f578f875efffc0d422c57a75d7d8: 7,259 ETH ($13.5M), related to AlchemixFi
- 0x6ec21d1868743a44318c3c259a6d4953f9978538
Από αυτά τα γεγονότα, είναι ξεκάθαρο ότι DeFi τα πρωτόκολλα, αν και πολλά υποσχόμενα, εξακολουθούν να έχουν τα τρωτά τους σημεία. Τα πρωτόκολλα και οι χρήστες θα πρέπει να παραμείνουν σε επαγρύπνηση και προορατικότητα όσον αφορά την εφαρμογή και την τήρηση των βέλτιστων πρακτικών ασφαλείας.
Πρωτοφανή Γεγονότα
Ήταν πράγματι μια τρελή μέρα στο crypto. Ενώ πολλοί λάτρεις των κρυπτονομισμάτων έπαιζαν στο Base, συνέβη το hack του Curve, αφήνοντας 32 εκατομμύρια μάρκες CRV στα χέρια του χάκερ. Ακόμη πιο συγκλονιστικό ήταν το ενδεχόμενο ρευστοποίησης CRV 100 εκατομμυρίων δολαρίων στην Aave στα 0.42 δολάρια ΗΠΑ, αν και ο ιδρυτής καταβάλλει προσπάθειες για να αποπληρώσει το χρέος.
Τρελή μέρα στην κρυπτογράφηση.
— Ignas | DeFi Έρευνα (@DefiIgnas) Ιούλιος 30, 2023
Ενώ οι degens παίζουν τυχερά παιχνίδια στο Base, το Curve παραβιάζεται με 32 εκατομμύρια μάρκες CRV στα χέρια του χάκερ.
Το χειρότερο είναι ότι υπάρχει εκκαθάριση CRV 100 εκατομμυρίων δολαρίων στην Aave στα 0.42 δολάρια ΗΠΑ, αλλά ο ιδρυτής αυτή τη στιγμή αποπληρώνει το χρέος.
🤞 pic.twitter.com/9s0JSrNYgt
Curve Hack Ανάλυση
Καθώς η σκόνη κατακάθεται στο hack του Curve Finance, ο πλήρης αντίκτυπος στο οικοσύστημα γίνεται σαφής. Η επίθεση έπληξε ένα βαρύ πλήγμα στο DeFi οικοσύστημα, επηρεάζοντας ιδιαίτερα τα μάρκες που υπέστησαν άμεσες συνέπειες. Για παράδειγμα, πολλά token έχασαν πάνω από το 30% της αξίας τους λόγω της εκμετάλλευσης CRV.
Η γρήγορη απάντηση του ιδρυτή του Curve να επιστρέψει μερικά από τα χαμένα κεφάλαια και η απροσδόκητη επιστροφή κεφαλαίων από τρίτο μέρος, μαζί με την ειρωνική στροφή του χάκερ που έχασε τα κλεμμένα κεφάλαια, μετριάζουν ελαφρώς την κατάσταση. Ωστόσο, το περιστατικό χρησιμεύει ως υπενθύμιση των πιθανών τρωτών σημείων στα έξυπνα συμβόλαια και στο ευρύτερο DeFi χώρος.
Είναι σημαντικό για έργα εντός του DeFi χώρο για να επενδύουν συνεχώς σε μέτρα ασφαλείας, να ελέγχουν τα έξυπνα συμβόλαιά τους και να δημιουργούν σχέδια έκτακτης ανάγκης για πιθανές εκμεταλλεύσεις. Οι χρήστες πρέπει επίσης να είναι προσεκτικοί και να λαμβάνουν υπόψη τους παράγοντες κινδύνου όταν αλληλεπιδρούν με DeFi πλατφόρμες.
Το hack Curve Finance είναι μια έντονη υπενθύμιση ότι οι δυνατότητες καινοτομίας και υψηλής ανταμοιβής του DeFi ο τομέας ενέχει επίσης σημαντικό κίνδυνο. Με την ωρίμανση του κλάδου, η προσδοκία είναι ότι οι προγραμματιστές και οι οργανισμοί θα υιοθετήσουν αυστηρά μέτρα ασφαλείας ως συνήθη πρακτική, αποκλείοντας έτσι την πιθανότητα τέτοιων εκμεταλλεύσεων στο μέλλον.
Διαβάστε περισσότερα:
- 16 καλύτερα πανεπιστήμια για το Metaverse και Web3: Εκπαίδευση, Έρευνα
- 50 Καλύτερο NFT Marketplaces for Creators: Ultimate List 2022
- Top 7 NFT Υπηρεσίες ενημερωτικών δελτίων για εγγραφή τώρα
Αποποίηση ευθυνών
Σύμφωνα με το Οδηγίες του έργου Trust, σημειώστε ότι οι πληροφορίες που παρέχονται σε αυτήν τη σελίδα δεν προορίζονται και δεν πρέπει να ερμηνεύονται ως νομικές, φορολογικές, επενδυτικές, χρηματοοικονομικές ή οποιαδήποτε άλλη μορφή συμβουλής. Είναι σημαντικό να επενδύσετε μόνο ό,τι έχετε την πολυτέλεια να χάσετε και να αναζητήσετε ανεξάρτητες οικονομικές συμβουλές εάν έχετε οποιεσδήποτε αμφιβολίες. Για περισσότερες πληροφορίες, προτείνουμε να ανατρέξετε στους όρους και τις προϋποθέσεις, καθώς και στις σελίδες βοήθειας και υποστήριξης που παρέχονται από τον εκδότη ή τον διαφημιστή. MetaversePost δεσμεύεται για ακριβείς, αμερόληπτες αναφορές, αλλά οι συνθήκες της αγοράς υπόκεινται σε αλλαγές χωρίς προειδοποίηση.
Σχετικά με το Συγγραφέας
Ο Νικ είναι καταξιωμένος αναλυτής και συγγραφέας στο Metaverse Post, που ειδικεύεται στην παροχή πρωτοποριακών πληροφοριών στον γρήγορο κόσμο της τεχνολογίας, με ιδιαίτερη έμφαση στην AI/ML, XR, VR, on-chain analytics και ανάπτυξη blockchain. Τα άρθρα του απασχολούν και ενημερώνουν ένα ποικίλο κοινό, βοηθώντας το να παραμείνουν μπροστά από την τεχνολογική καμπύλη. Κατέχοντας μεταπτυχιακό τίτλο στα Οικονομικά και τη Διοίκηση, ο Nik έχει μια σταθερή αντίληψη των αποχρώσεων του επιχειρηματικού κόσμου και της διασταύρωσής του με τις αναδυόμενες τεχνολογίες.
Περισσότερα άρθραΟ Νικ είναι καταξιωμένος αναλυτής και συγγραφέας στο Metaverse Post, που ειδικεύεται στην παροχή πρωτοποριακών πληροφοριών στον γρήγορο κόσμο της τεχνολογίας, με ιδιαίτερη έμφαση στην AI/ML, XR, VR, on-chain analytics και ανάπτυξη blockchain. Τα άρθρα του απασχολούν και ενημερώνουν ένα ποικίλο κοινό, βοηθώντας το να παραμείνουν μπροστά από την τεχνολογική καμπύλη. Κατέχοντας μεταπτυχιακό τίτλο στα Οικονομικά και τη Διοίκηση, ο Nik έχει μια σταθερή αντίληψη των αποχρώσεων του επιχειρηματικού κόσμου και της διασταύρωσής του με τις αναδυόμενες τεχνολογίες.