Curve Finance Hackin jälkimainingit
Hajautettu rahoitus (DeFi) teollisuus on kohdannut toisen merkittävän takaiskun. CurveFinance, näkyvä DeFi protokollaa hyödynnettiin 30. heinäkuuta, mikä johti yli 47 miljoonan dollarin tappioihin. Tämä tapaus johtui Vyperin versioiden 0.2.15, 0.2.16 ja 0.3.0 uudelleen sisäänpääsyn haavoittuvuudesta, jota useat Curve Financen vakaat poolit käyttivät.
Haavoittuvuus
Pääasiallinen syy hyväksikäyttöön oli Ethereum-virtuaalikoneeseen (EVM) kohdistavan sopimussuuntautuneen, pytonisen ohjelmointikielen, Vyperin tiettyjen versioiden palautuslukkojen toimintahäiriö. Tämä ohjelmointikieli on suositeltava valinta Python-kehittäjille, jotka ovat siirtymässä siihen Web3 sen samankaltaisuuden vuoksi Pythonin kanssa.
Alkututkimus paljastaa, että nämä Vyper-kääntäjäversiot eivät toteuta palautussuojaa oikein. Palautumishyökkäykset tapahtuvat, kun sopimus on lukittu, mikä estää useiden toimintojen suorittamisen samanaikaisesti. Jos sitä ei toteuteta oikein, tämä voi mahdollisesti viedä kaikki varat sopimuksesta. Ancilia, turvayritys, on tunnistanut 136 sopimusta, joissa käytetään Vyper 0.2.15, 98 sopimusta Vyper 0.2.16:lla ja 226 sopimusta Vyper 0.3.0:lla uudelleentulosuojauksella.
Curve Hack
Useat DeFi Tämä hyväksikäyttö vaikutti hankkeisiin, mikä johti merkittäviin ulosvirtauksiin. Esimerkiksi, sananheitto, hajautettu pörssi, raportoi, että muutama vakaa pooli BNB:n kanssa käytettiin hyväksi vanhalla Vyper-kääntäjällä. Alchemixin alETH-ETH:n ulosvirtaus oli 13.6 miljoonaa dollaria. JPEGd:n pETH-ETH-poolia hyödynnettiin 11.4 miljoonalla dollarilla, ja Metronomen sETH-ETH-pooli menetti 1.6 miljoonaa dollaria.
Joukkoa Vyper 0.2.15:tä käyttäviä stablepooleja (alETH/msETH/pETH) on hyödynnetty toimintahäiriön seurauksena. Arvioimme tilannetta ja päivitämme yhteisöä asioiden kehittyessä.
- Curve Finance (@CurveFinance) Heinäkuu 30, 2023
Muut uima-altaat ovat turvallisia. https://t.co/eWy2d3cDDj
Näiden hyökkäysten jälkeen Mihail EgorovCurve Financen toimitusjohtaja vahvisti, että yli 32 miljoonaa CRV-rahaketta arvoltaan yli 22 miljoonaa dollaria oli tyhjennetty swap poolista. Tämä vahvistus tuli paniikin seurauksena DeFi ekosysteemi, joka johti lukuisiin kauppoihin altaiden välillä ja pelastusoperaatioon valkohatttujen toimesta.
CoinMarketCap tiedot osoittavat, että Curve Financen hyödyllisyystunnus Curve DAO (CRV) laski yli 5 % reaktiona uutiseen. CRV:n likviditeetti on heikentynyt merkittävästi viime kuukausina, mikä on altistanut rajuille hintavaihteluille.
Huolimatta merkittävistä vahingoista, Curve Finance vakuutti, että hyväksikäyttö ei vaikuttanut crvUSD-sopimuksiin ja niihin liittyviin pooleihin. Hakkeroinnin jälkeen Curve Finance vahvisti tapauksen ja myönsi, että he eivät pystyneet turvaamaan allasta ajoissa. Yksi Etherscanissa näkyvä tapahtuma vahvisti hyväksikäytön.
Tausta
Tämä hyväksikäyttö on viimeisin Curve Financeen kohdistuvien tapausten sarjassa. Vain muutama päivä aiemmin hyökkääjä käytti hyväkseen omnipool-alustaa Conic Finance3.26 miljoonaa dollaria Etherissä (ETH). Tekijä siirsi lähes koko varastetun summan uuteen Ethereum-osoitteeseen yhdellä nopealla maksutapahtumalla.
Tutkimme parhaillaan ETH Omnipoolin hyväksikäyttöä ja jaamme päivityksiä heti, kun ne ovat saatavilla.
— Conic Finance (@ConicFinance) Heinäkuu 21, 2023
Curve Finance -hakkerointi on osa laajempaa hyökkäysmallia DeFi protokollat. Raportin mukaan Web3 portfoliosovellus, De.Fi, DeFi hakkeroista ja huijauksista aiheutui yli 204 miljoonan dollarin tappiot vain vuoden 2023 toisella neljänneksellä.
Takaisinmaksu & Palautus
Tapahtuman seurauksena Curven perustaja toimi nopeasti ja maksoi takaisin 4.63 miljoonaa USDT ja talletti 16 miljoonaa CRV:tä (vastaa 10.12 miljoonaa dollaria) aave. Tällä hetkellä hänellä on 293 miljoonan CRV:n vakuus (arvo 181 miljoonaa dollaria) ja 59.68 miljoonan USDT:n velka Aave-yhtiössä, terveyskorko 1.69.
Odottamattomassa käänteessä krypto-käyttäjä nimesi c0ffeebabe.eth palautti 2,879 5.4 ETH:ta (noin XNUMX miljoonaa dollaria) Curven käyttöönottajalle. Tämä tapahtuma on lieventänyt osaa hakkeroinnin aiheuttamista menetyksistä.
Palautustapahtuma Etherscanissa
Jälkeen #Käyrä oli hakkeroitu, perustaja #curvefi takaisin 4.63 milj $ USDT ja talletti 16 miljoonaa $ CRV (10.12 miljoonaa dollaria) päällä #ave.
- Lookonchain (@lookonchain) Heinäkuu 31, 2023
Hänellä on tällä hetkellä 293 milj $ CRV (181 miljoonaa dollaria) vakuuksia ja 59.68 miljoonaa $ USDT velkaa päällä #ave, jonka terveysprosentti on 1.69.https://t.co/stkFvDrlnv pic.twitter.com/tzYlt9Vmfk
Aftermath
Tutkijat tunnistivat myös hakkerin osoitteet ja Curve-hakkerointiin käytettyjen varojen määrän. Tähän mennessä hyödynnetty kokonaismäärä on noin 52 miljoonaa dollaria.
Hakkerin osoitteet:
- 0xdce5d6b41c32f578f875efffc0d422c57a75d7d8: 7,259 ETH ($13.5M), related to AlchemixFi
- 0x6ec21d1868743a44318c3c259a6d4953f9978538
Näistä tapahtumista se on selvää DeFi protokollat, vaikka ne ovat lupaavia, sisältävät silti haavoittuvuutensa. Protokollan ja käyttäjien tulee pysyä valppaina ja proaktiivisina parhaiden tietoturvakäytäntöjen toteuttamisessa ja noudattamisessa.
Ennennäkemättömiä tapahtumia
Se on todellakin ollut hullu päivä krypton suhteen. Kun monet krypto-harrastajat pelasivat uhkapelejä Basessa, Curve-hakkerointi tapahtui, jolloin hakkerin käsiin jäi 32 miljoonaa CRV-rahaketta. Vielä järkyttävämpää oli mahdollisuus 100 miljoonan dollarin CRV:n likvidaatioon Aavella 0.42 dollarilla, vaikka perustaja on yrittänyt maksaa velkaa.
Hullu päivä kryptossa.
— Ignas | DeFi Tutkimus (@DefiIgnas) Heinäkuu 30, 2023
Kun degenit pelaavat Basessa, Curve hakkeroidaan 32 miljoonalla CRV-tokenilla hakkerin käsissä.
Mikä pahinta, Aavella on 100 miljoonan dollarin CRV:n selvitystila 0.42 dollarilla, mutta perustaja maksaa tällä hetkellä velkaa.
🤞 pic.twitter.com/9s0JSrNYgt
Curve Hack analyysi
Kun pöly laskeutuu Curve Finance -hakkerille, sen koko vaikutus ekosysteemiin on tulossa selväksi. Hyökkäys antoi voimakkaan iskun DeFi ekosysteemiin, mikä vaikuttaa erityisesti tokeneihin, jotka kärsivät suorista seurauksista. Esimerkiksi useat rahakkeet menettivät yli 30 % arvostaan CRV:n hyväksikäytön vuoksi.
Curven perustajan nopea reaktio osan kadonneiden varojen takaisinmaksuun ja kolmannen osapuolen odottamaton varojen palautus sekä ironinen käänne siitä, että hakkeri menetti varastetut varat, ovat lieventäneet tilannetta hieman. Tapaus toimii kuitenkin muistutuksena mahdollisista haavoittuvuuksista älykkäissä sopimuksissa ja laajemmin DeFi tilaa.
Se on tärkeää hankkeiden sisällä DeFi tilaa jatkuvasti investoida turvatoimiin, tarkastaa älykkäitä sopimuksiaan ja luoda valmiussuunnitelmia mahdollisia hyväksikäyttöjä varten. Käyttäjien on myös oltava valppaita ja otettava huomioon riskitekijät vuorovaikutuksessa DeFi alustoille.
Curve Finance -hakkerointi on jyrkkä muistutus siitä, että innovatiivinen ja korkea palkkiopotentiaali on DeFi alaan liittyy myös merkittäviä riskejä. Alan kypsyessä on odotettavissa, että kehittäjät ja organisaatiot ottavat vakavia turvatoimia vakiokäytäntönä, mikä estää tällaisten hyväksikäyttöjen todennäköisyyden tulevaisuudessa.
Lue lisää:
- 16 parasta yliopistoa Metaverselle ja Web3: Koulutus, tutkimus
- 50 Paras NFT Markkinapaikat sisällöntuottajille: Ultimate List 2022
- Top 7 NFT Tilaa uutiskirjepalvelut heti
Vastuun kieltäminen
Mukaisesti Luottamusprojektin ohjeetHuomaa, että tällä sivulla annettuja tietoja ei ole tarkoitettu eikä niitä tule tulkita oikeudellisiksi, verotukselliseksi, sijoitus-, rahoitus- tai minkään muun muodon neuvoiksi. On tärkeää sijoittaa vain sen verran, mitä sinulla on varaa menettää, ja pyytää riippumatonta talousneuvontaa, jos sinulla on epäilyksiä. Lisätietoja saat käyttöehdoista sekä myöntäjän tai mainostajan tarjoamista ohje- ja tukisivuista. MetaversePost on sitoutunut tarkkaan, puolueettomaan raportointiin, mutta markkinaolosuhteet voivat muuttua ilman erillistä ilmoitusta.
Author
Nik on taitava analyytikko ja kirjailija Metaverse Post, joka on erikoistunut tarjoamaan huippuluokan näkemyksiä nopeatempoiseen teknologian maailmaan painottaen erityisesti AI/ML-, XR-, VR-, ketjun analytiikkaa ja blockchain-kehitystä. Hänen artikkelinsa houkuttelevat ja tiedottavat monipuoliselle yleisölle, mikä auttaa heitä pysymään teknologian kehityksen kärjessä. Taloustieteen maisterin tutkinnon suorittaneella Nikillä on vankka käsitys yritysmaailman vivahteista ja sen risteyksestä nousevien teknologioiden kanssa.
lisää artikkeleitaNik on taitava analyytikko ja kirjailija Metaverse Post, joka on erikoistunut tarjoamaan huippuluokan näkemyksiä nopeatempoiseen teknologian maailmaan painottaen erityisesti AI/ML-, XR-, VR-, ketjun analytiikkaa ja blockchain-kehitystä. Hänen artikkelinsa houkuttelevat ja tiedottavat monipuoliselle yleisölle, mikä auttaa heitä pysymään teknologian kehityksen kärjessä. Taloustieteen maisterin tutkinnon suorittaneella Nikillä on vankka käsitys yritysmaailman vivahteista ja sen risteyksestä nousevien teknologioiden kanssa.