ژوئیه 31، 2023

پیامدهای هک Curve Finance

تاریخ انتشار: 31 جولای 2023 ساعت 2:14 بروزرسانی: 31 جولای 2023 ساعت 2:37 ق.ظ.

ویرایش و بررسی شده: 31 ژوئیه 2023، ساعت 2:14 صبح

مالی غیر متمرکز (DeFi) صنعت با شکست قابل توجه دیگری روبرو شده است. امور مالی منحنیبرجسته DeFi پروتکل، در 30 جولای مورد بهره برداری قرار گرفت و منجر به زیان بیش از 47 میلیون دلار شد. این حادثه نتیجه یک آسیب‌پذیری ورود مجدد در نسخه‌های Vyper 0.2.15، 0.2.16 و 0.3.0 بود که چندین استخر پایدار در Curve Finance از آن استفاده می‌کردند.

آسیب پذیری

علت اصلی این اکسپلویت، نقص در قفل‌های ورود مجدد نسخه‌های خاص Vyper، یک زبان برنامه‌نویسی قرارداد محور و پایتونیک بود که ماشین مجازی اتریوم (EVM) را هدف قرار می‌دهد. این زبان برنامه نویسی یک انتخاب ارجح برای توسعه دهندگان پایتون است Web3 به دلیل شباهت آن به پایتون.

بررسی اولیه نشان می‌دهد که این نسخه‌های کامپایلر Vyper گارد ورود مجدد را به درستی پیاده‌سازی نمی‌کنند. حملات بازگشت مجدد زمانی اتفاق می‌افتند که قرارداد قفل می‌شود و از اجرای همزمان چندین عملکرد جلوگیری می‌کند. اگر به درستی اجرا نشود، به طور بالقوه می تواند تمام سرمایه های قرارداد را تخلیه کند. Ancilia، یک شرکت امنیتی، با استفاده از 136 قرارداد شناسایی کرده است وایپر 0.2.15، 98 قرارداد با استفاده از Vyper 0.2.16، و 226 قرارداد با استفاده از Vyper 0.3.0 با حفاظت از ورود مجدد.

هک منحنی

چند DeFi پروژه ها تحت تأثیر این بهره برداری قرار گرفتند که منجر به خروجی های قابل توجهی شد. برای مثال، حذفیک صرافی غیرمتمرکز، گزارش داد که چند استخر پایدار با BNB با استفاده از یک کامپایلر قدیمی Vyper مورد سوء استفاده قرار گرفتند. Alchemix's alETH-ETH شاهد خروج 13.6 میلیون دلاری بود. استخر pETH-ETH JPEGd برای 11.4 میلیون دلار مورد بهره برداری قرار گرفت و استخر sETH-ETH مترونوم 1.6 میلیون دلار ضرر کرد.

تعدادی از استبل‌پول‌ها (alETH/msETH/pETH) با استفاده از Vyper 0.2.15 در نتیجه خرابی قفل ورود مجدد مورد سوء استفاده قرار گرفته‌اند. ما در حال ارزیابی وضعیت هستیم و با پیشرفت اوضاع جامعه را به روز خواهیم کرد.

استخرهای دیگر ایمن هستند. https://t.co/eWy2d3cDDj
- Curve Finance (@ CurveFinance) ژوئیه 30، 2023

در پی این حملات، مایکل ایگوروفمدیر عامل Curve Finance تایید کرد که بیش از 32 میلیون توکن CRV به ارزش بیش از 22 میلیون دلار از استخر مبادله تخلیه شده است. این تایید در پی یک وحشت در سراسر جهان آمد DeFi اکوسیستم، منجر به معاملات متعدد در استخرها و عملیات نجات توسط کلاه سفیدها شد.

CoinMarketCap داده ها نشان می دهد که نشانه سودمند Curve DAO (CRV) در واکنش به این خبر بیش از 5 درصد کاهش یافته است. نقدینگی CRV در ماه های اخیر به میزان قابل توجهی کاهش یافته است و آن را مستعد نوسانات شدید قیمت کرده است.

با وجود آسیب قابل توجه، Curve Finance اطمینان داد که قراردادهای crvUSD و هر مجموعه مرتبط با آن تحت تأثیر سوء استفاده قرار نگرفته است. پس از هک، Curve Finance این حادثه را تایید کرد و اعتراف کرد که نتوانسته است به موقع استخر را ایمن کند. یک تراکنش منفرد که در Etherscan قابل مشاهده است، اکسپلویت را تایید کرد.

تراکنش در Etherscan

زمینه

این اکسپلویت به عنوان آخرین مورد از یک سری حوادثی است که Curve Finance را هدف قرار داده است. تنها چند روز قبل، یک مهاجم از پلتفرم omnipool سوء استفاده کرد Conic Finance، با 3.26 میلیون دلار در اتر (ETH) به ثمر نشست. مجرم تقریباً کل مبلغ سرقت شده را در یک تراکنش سریع به یک آدرس جدید اتریوم منتقل کرد.

ما در حال حاضر در حال بررسی یک سوء استفاده از ETH Omnipool هستیم و به‌محض اینکه به‌روزرسانی‌ها در دسترس قرار می‌گیرند، به اشتراک می‌گذاریم.
— Conic Finance (@ConicFinance) ژوئیه 21، 2023

هک Curve Finance بخشی از الگوی گسترده‌تری از حملات است DeFi پروتکل ها بر اساس گزارشی از Web3 برنامه نمونه کارها، De.Fi، DeFi هک و کلاهبرداری تنها در سه ماهه دوم سال 204 بیش از 2023 میلیون دلار ضرر داشته است.

بازپرداخت و بازگشت

در نتیجه این حادثه، بنیانگذار Curve به سرعت وارد عمل شد و 4.63 میلیون USDT را بازپرداخت کرد و 16 میلیون CRV (معادل 10.12 میلیون دلار) را به این کشور واریز کرد. دیوانه. در حال حاضر، او دارای وثیقه 293 میلیون CRV (به ارزش 181 میلیون دلار) و بدهی 59.68 میلیون USDT در Aave با نرخ سلامت 1.69 است.

پروفایل Aave

در یک چرخش غیرمنتظره از وقایع، یک کاربر رمزارز به نام c0ffeebabe.eth 2,879 ETH (تقریباً 5.4 میلیون دلار) را به توسعه دهنده Curve برگرداند. این رویداد برخی از ضررهای ناشی از هک را کاهش داده است.

تراکنش برگشتی در Etherscan

پس از # منحنی هک شد، بنیانگذار #منحنی بازپرداخت 4.63 میلیون $ USDT و 16 میلیون واریز کرد CRV دلار (10.12 میلیون دلار) # ول کن.

او در حال حاضر 293 میلیون تومان دارد CRV دلار (181 میلیون دلار) وثیقه و 59.68 میلیون دلار $ USDT از بدهی در # ول کن، با نرخ سلامت 1.69.https://t.co/stkFvDrlnv pic.twitter.com/tzYlt9Vmfk
- Lookonchain (@lookonchain) ژوئیه 31، 2023

پیامدها

بازرسان همچنین آدرس های هکر و میزان وجوه مورد سوء استفاده در رابطه با هک Curve را شناسایی کردند. کل مقدار بهره برداری شده تا کنون حدود 52 میلیون دلار است.

آدرس هکرها:

0xdce5d6b41c32f578f875efffc0d422c57a75d7d8: 7,259 ETH ($13.5M), related to AlchemixFi
0x6ec21d1868743a44318c3c259a6d4953f9978538

از این اتفاقات مشخص است که DeFi پروتکل ها، اگرچه امیدوارکننده هستند، اما همچنان آسیب پذیری های خود را دارند. پروتکل ها و کاربران به طور یکسان باید در اجرای و پیروی از بهترین شیوه های امنیتی هوشیار و فعال باشند.

رویدادهای بی سابقه

واقعاً یک روز دیوانه کننده در کریپتو بوده است. در حالی که بسیاری از علاقه مندان به ارزهای دیجیتال روی Base قمار می کردند، هک Curve رخ داد و 32 میلیون توکن CRV در دست هکر باقی ماند. حتی تکان‌دهنده‌تر احتمال انحلال 100 میلیون دلاری CRV در Aave با 0.42 دلار بود، اگرچه بنیانگذار تلاش‌هایی برای بازپرداخت بدهی انجام داده است.

روز دیوانه در کریپتو.

در حالی که دژن ها روی Base قمار می کنند، Curve با 32 میلیون توکن CRV در دست هکر هک می شود.

بدتر از آن، انحلال CRV 100 میلیون دلاری در Aave به قیمت 0.42 دلار وجود دارد، اما بنیانگذار در حال حاضر در حال بازپرداخت بدهی است.

🤞 pic.twitter.com/9s0JSrNYgt
— ایگناس | DeFi پژوهش (@Defiایگناس) ژوئیه 30، 2023

هک منحنی تحلیل و بررسی

همانطور که گرد و غبار روی هک Curve Finance می نشیند، تأثیر کامل آن بر اکوسیستم آشکار می شود. این حمله ضربه سنگینی به این حمله وارد کرد DeFi اکوسیستم، به ویژه بر نشانه هایی که عواقب مستقیمی را متحمل شدند. به عنوان مثال، چندین توکن بیش از 30 درصد از ارزش خود را به دلیل بهره برداری CRV از دست دادند.

پاسخ سریع بنیانگذار Curve به بازپرداخت برخی از وجوه از دست رفته و بازگشت غیرمنتظره وجوه توسط شخص ثالث، همراه با چرخش طعنه آمیز هکر از دست دادن وجوه دزدیده شده، کمی وضعیت را کاهش داده است. با این حال، این حادثه به عنوان یادآوری آسیب‌پذیری‌های احتمالی در قراردادهای هوشمند و گسترده‌تر عمل می‌کند. DeFi فضا.

برای پروژه های داخل کشور مهم است DeFi فضایی برای سرمایه گذاری مستمر در اقدامات امنیتی، ممیزی قراردادهای هوشمند آنها و ایجاد برنامه های احتمالی برای سوء استفاده های احتمالی. کاربران همچنین باید هوشیار باشند و عوامل خطر را هنگام تعامل با آنها در نظر بگیرند DeFi سیستم عامل.

هک Curve Finance یک یادآوری واضح است که پتانسیل خلاقانه و با پاداش بالا است DeFi بخش نیز با ریسک قابل توجهی همراه است. با بلوغ بخش، انتظار می رود که توسعه دهندگان و سازمان ها اقدامات امنیتی قوی را به عنوان یک روش استاندارد اتخاذ کنند، در نتیجه از احتمال چنین سوء استفاده هایی در آینده جلوگیری می شود.

ادامه مطلب:

برچسب ها:

سلب مسئولیت

در خط با دستورالعمل های پروژه اعتماد، لطفاً توجه داشته باشید که اطلاعات ارائه شده در این صفحه به عنوان مشاوره حقوقی، مالیاتی، سرمایه گذاری، مالی یا هر شکل دیگری در نظر گرفته نشده است و نباید تفسیر شود. مهم است که فقط در موردی سرمایه گذاری کنید که توانایی از دست دادن آن را دارید و در صورت شک و تردید به دنبال مشاوره مالی مستقل باشید. برای کسب اطلاعات بیشتر، پیشنهاد می کنیم به شرایط و ضوابط و همچنین صفحات راهنمایی و پشتیبانی ارائه شده توسط صادرکننده یا تبلیغ کننده مراجعه کنید. MetaversePost متعهد به گزارش دقیق و بی طرفانه است، اما شرایط بازار بدون اطلاع قبلی ممکن است تغییر کند.

درباره نویسنده

نیک یک تحلیلگر و نویسنده ماهر است Metaverse Post، متخصص در ارائه بینش های پیشرفته در دنیای پرسرعت فناوری، با تاکید ویژه بر AI/ML، XR، VR، تجزیه و تحلیل درون زنجیره ای و توسعه بلاک چین. مقالات او مخاطبان متنوعی را درگیر می کند و به آنها اطلاع می دهد و به آنها کمک می کند تا از منحنی فناوری جلوتر بمانند. نیک با داشتن مدرک کارشناسی ارشد در اقتصاد و مدیریت، درک کاملی از تفاوت های ظریف دنیای تجارت و تلاقی آن با فناوری های نوظهور دارد.

مقالات بیشتر

نیک آستی