The Aftermath of the Curve Finance Hack
Decentralizirane financije (DeFi) industrija se suočila s još jednim značajnim nazadovanjem. Krivulje financija, istaknuti DeFi protokola, iskorišten je 30. srpnja, što je dovelo do gubitaka koji su premašili 47 milijuna dolara. Ovaj je incident bio posljedica ranjivosti ponovnog ulaska u Vyper verzije 0.2.15, 0.2.16 i 0.3.0 koje je koristilo nekoliko stabilnih skupova na Curve Finance.
Ranjivost
Primarni uzrok iskorištavanja bio je kvar u bravama za ponovni ulazak određenih verzija Vypera, ugovorno orijentiranog, pitonskog programskog jezika koji cilja na Ethereum Virtual Machine (EVM). Ovaj je programski jezik preferirani izbor za Python programere koji prelaze na njega Web3 zbog sličnosti s Pythonom.
Početna istraga otkriva da ove verzije Vyper prevoditelja ne implementiraju ispravno zaštitu od ponovnog ulaska. Napadi ponovnog ulaska događaju se kada je ugovor zaključan, sprječavajući istovremeno izvršavanje više funkcija. Ako se ne provede ispravno, to potencijalno može iscrpiti sva sredstva iz ugovora. Ancilia, zaštitarska tvrtka, identificirala je 136 ugovora koji koriste Vyper 0.2.15, 98 ugovora koji koriste Vyper 0.2.16 i 226 ugovora koji koriste Vyper 0.3.0 sa zaštitom od ponovnog ulaska.
Curve Hack
Nekoliko DeFi projekti su pogođeni ovim iskorištavanjem, što je dovelo do značajnih odljeva. Na primjer, Elipsa, decentralizirana burza, izvijestila je da je nekoliko stabilnih bazena s BNB-om iskorišteno pomoću starog Vyper kompilatora. Alchemixov alETH-ETH zabilježio je odljev od 13.6 milijuna dolara. JPEGd-ov pETH-ETH skup iskorišten je za 11.4 milijuna dolara, a Metronomeov sETH-ETH skup je izgubio 1.6 milijuna dolara.
Nekoliko stablepoola (alETH/msETH/pETH) koji koriste Vyper 0.2.15 iskorišteni su kao rezultat neispravnog zaključavanja ponovnog ulaska. Procjenjujemo situaciju i obavijestit ćemo zajednicu kako se stvari budu razvijale.
- Curve Finance (@CurveFinance) Srpanj 30, 2023
Ostali bazeni su sigurni. https://t.co/eWy2d3cDDj
Nakon ovih napada, Mihail Egorov, izvršni direktor tvrtke Curve Finance, potvrdio je da je preko 32 milijuna CRV tokena u vrijednosti većoj od 22 milijuna dolara iscrpljeno iz swap pool-a. Ova potvrda stigla je nakon panike diljem svijeta DeFi ekosustava, što je dovelo do brojnih transakcija preko bazena i operacije spašavanja bijelih šešira.
CoinMarketCap podaci pokazuju da je uslužni token Curve DAO (CRV) tvrtke Curve Finance pao za preko 5% kao reakcija na vijest. Likvidnost CRV-a znatno se smanjila posljednjih mjeseci, što ga čini sklonim nasilnim promjenama cijena.
Unatoč značajnoj šteti, Curve Finance jamči da crvUSD ugovori i svi skupovi povezani s njim nisu pogođeni iskorištavanjem. Nakon hakiranja, Curve Finance potvrdio je incident i priznao da nisu mogli osigurati bazen na vrijeme. Jedna transakcija vidljiva na Etherscanu potvrdila je iskorištavanje.
Kontekst
Ovaj exploit dolazi kao najnoviji u nizu incidenata usmjerenih na Curve Finance. Samo nekoliko dana ranije, napadač je iskoristio omnipool platformu Conic Finance, pobjegavši s 3.26 milijuna dolara u eteru (ETH). Počinitelj je gotovo cijeli ukradeni iznos prebacio na novu Ethereum adresu u jednoj brzoj transakciji.
Trenutno istražujemo exploit koji uključuje ETH Omnipool i podijelit ćemo ažuriranja čim budu dostupna.
— Conic Finance (@ConicFinance) Srpanj 21, 2023
Hakiranje Curve Finance dio je šireg obrasca napada na DeFi protokoli. Prema izvješću iz Web3 portfelj aplikacija, De.Fi, DeFi hakiranja i prijevare donijeli su više od 204 milijuna dolara gubitaka samo u drugom kvartalu 2023.
Otplata i povrat
Kao rezultat incidenta, osnivač Curvea je promptno djelovao i otplatio 4.63 milijuna USDT i položio 16 milijuna CRV (ekvivalentno 10.12 milijuna USD) na Aave. Trenutačno ima kolateral od 293 milijuna CRV (procijenjen na 181 milijun dolara) i dug od 59.68 milijuna USDT na Aaveu, uz zdravstvenu stopu od 1.69.
Neočekivanim razvojem događaja, kripto korisnik imenovan c0ffeebabe.eth vratio 2,879 ETH (otprilike 5.4 milijuna USD) postavljaču Curvea. Ovaj je događaj ublažio neke gubitke uzrokovane hakiranjem.
Povratna transakcija na Etherscan
nakon #Zavoj bio hakiran, osnivač #krivuljafi otplaćeno 4.63M $ USDT i deponirano 16M $ CRV (10.12 milijuna dolara) uključeno #ave.
- LoonOnchain (@lookonchain) Srpanj 31, 2023
Trenutno ima 293M $ CRV (181 milijun dolara) kolaterala i 59.68 milijuna dolara $ USDT duga na #ave, uz zdravstvenu stopu od 1.69.https://t.co/stkFvDrlnv pic.twitter.com/tzYlt9Vmfk
Aftermath
Istražitelji su također identificirali adrese hakera i količinu sredstava iskorištenih u vezi s hakiranjem Curvea. Ukupna količina eksploatirana do sada je oko 52 milijuna dolara.
Adrese hakera:
- 0xdce5d6b41c32f578f875efffc0d422c57a75d7d8: 7,259 ETH ($13.5M), related to AlchemixFi
- 0x6ec21d1868743a44318c3c259a6d4953f9978538
Iz ovih događaja je jasno da DeFi protokoli, iako obećavaju, još uvijek imaju svoje ranjivosti. Protokoli i korisnici bi podjednako trebali ostati oprezni i proaktivni u implementaciji i praćenju najboljih sigurnosnih praksi.
Događaji bez presedana
Ovo je doista bio lud dan u kriptovaluti. Dok su se mnogi kripto entuzijasti kockali na Baseu, došlo je do hakiranja Curvea, ostavljajući 32 milijuna CRV tokena u rukama hakera. Još je šokantnija bila mogućnost likvidacije CRV-a od 100 milijuna USD na Aaveu po cijeni od 0.42 USD, iako je osnivač ulagao napore da vrati dug.
Ludi dan u kripto.
— Ignas | DeFi Istraživanje (@DefiIgnas) Srpanj 30, 2023
Dok se degeni kockaju na Baseu, Curve biva hakiran s 32 milijuna CRV tokena u rukama hakera.
Što je još gore, postoji likvidacija CRV-a od 100 milijuna USD na Aaveu po cijeni od 0.42 USD, ali osnivač trenutno otplaćuje dug.
???? pic.twitter.com/9s0JSrNYgt
Curve Hack Analiza
Dok se prašina oko haka Curve Finance spušta, puni utjecaj na ekosustav postaje jasan. Napad je zadao težak udarac DeFi ekosustava, posebno utječući na tokene koji su pretrpjeli izravne posljedice. Na primjer, nekoliko je tokena izgubilo više od 30% svoje vrijednosti zbog CRV exploit-a.
Brza reakcija osnivača Curvea da vrati dio izgubljenih sredstava i neočekivani povrat sredstava od strane treće strane, zajedno s ironičnim obratom hakera koji gubi ukradena sredstva, malo su ublažili situaciju. Ipak, incident služi kao podsjetnik na potencijalne ranjivosti unutar pametnih ugovora i šire DeFi prostor.
Važan je za projekte unutar DeFi prostor za kontinuirano ulaganje u sigurnosne mjere, reviziju njihovih pametnih ugovora i izradu planova za nepredviđene situacije za moguća iskorištavanja. Korisnici također moraju biti oprezni i uzeti u obzir čimbenike rizika prilikom interakcije s DeFi platforme.
Hack Curve Finance jasan je podsjetnik da je inovativni potencijal s visokom nagradom DeFi sektor također dolazi sa značajnim rizikom. Sa sazrijevanjem sektora, očekuje se da će programeri i organizacije usvojiti snažne sigurnosne mjere kao standardnu praksu, čime se isključuje vjerojatnost takvih iskorištavanja u budućnosti.
Pročitajte više:
- 16 najboljih sveučilišta za Metaverse i Web3: Obrazovanje, Istraživanje
- 50 najbolji NFT Tržišta za kreatore: konačni popis 2022
- Top 7 NFT Usluge biltena za pretplatu odmah
Izjava o odricanju od odgovornosti
U skladu s Smjernice projekta povjerenja, imajte na umu da informacije navedene na ovoj stranici nemaju namjeru i ne smiju se tumačiti kao pravni, porezni, investicijski, financijski ili bilo koji drugi oblik savjeta. Važno je ulagati samo ono što si možete priuštiti izgubiti i potražiti neovisni financijski savjet ako imate bilo kakvih nedoumica. Za dodatne informacije predlažemo da pogledate odredbe i uvjete, kao i stranice za pomoć i podršku koje pruža izdavatelj ili oglašivač. MetaversePost je predan točnom, nepristranom izvješćivanju, ali tržišni uvjeti podložni su promjenama bez prethodne najave.
O autoru
Nik je vrsni analitičar i pisac na Metaverse Post, specijaliziran za pružanje vrhunskih uvida u brzi svijet tehnologije, s posebnim naglaskom na AI/ML, XR, VR, on-chain analitiku i blockchain razvoj. Njegovi članci angažiraju i informiraju raznoliku publiku, pomažući im da budu ispred tehnološke krivulje. Posjedujući magisterij iz ekonomije i menadžmenta, Nik dobro razumije nijanse poslovnog svijeta i njegovo raskrižje s novim tehnologijama.
Više članaka
Nik je vrsni analitičar i pisac na Metaverse Post, specijaliziran za pružanje vrhunskih uvida u brzi svijet tehnologije, s posebnim naglaskom na AI/ML, XR, VR, on-chain analitiku i blockchain razvoj. Njegovi članci angažiraju i informiraju raznoliku publiku, pomažući im da budu ispred tehnološke krivulje. Posjedujući magisterij iz ekonomije i menadžmenta, Nik dobro razumije nijanse poslovnog svijeta i njegovo raskrižje s novim tehnologijama.
