Július 31, 2023

A Curve Finance Hack utóhatásai

Közzétéve: 31. július 2023., 2:14 Frissítve: 31. július 2023., 2:37

Szerkesztve és tényszerűen ellenőrzött: 31. július 2023. 2:14

A decentralizált finanszírozás (DeFi) az iparág újabb jelentős visszaeséssel néz szembe. Curve Finance, egy kiemelkedő DeFi protokollt július 30-án használták ki, aminek következtében a veszteségek meghaladták a 47 millió dollárt. Ez az incidens a Vyper 0.2.15-ös, 0.2.16-os és 0.3.0-s verzióiban található újrabelépési sebezhetőség következménye, amelyet a Curve Finance számos stabil poolja használt.

A biztonsági rés

A visszaélés elsődleges oka az Ethereum Virtual Machine (EVM) nevű szerződés-orientált, pitonikus programozási nyelv, a Vyper bizonyos verzióinak visszatérési zárainak meghibásodása volt. Ez a programozási nyelv előnyben részesített Python-fejlesztők számára Web3 a Pythonhoz való hasonlósága miatt.

A kezdeti vizsgálat feltárja, hogy ezek a Vyper fordítói verziók nem valósítják meg megfelelően a visszatérés-védelmet. Újbóli belépési támadások akkor fordulnak elő, ha egy szerződést zárolnak, és megakadályozzák több funkció egyidejű végrehajtását. Ha nem hajtják végre megfelelően, ez potenciálisan elszívhatja a szerződésből származó összes forrást. Az Ancilia biztonsági cég 136 szerződést azonosított Vyper 0.2.15, 98 szerződés Vyper 0.2.16 használatával és 226 szerződés Vyper 0.3.0 használatával, visszalépés védelemmel.

Curve Hack

Számos DeFi projekteket érintett ez a kiaknázás, ami jelentős kiáramlásokhoz vezetett. Például, szókihagyás, egy decentralizált tőzsde arról számolt be, hogy néhány stabil, BNB-vel rendelkező készletet kihasználtak egy régi Vyper fordító segítségével. Az Alchemix alETH-ETH 13.6 millió dolláros kiáramlást ért el. A JPEGd pETH-ETH készletét 11.4 millió dollárért használták ki, a Metronome sETH-ETH készlete pedig 1.6 millió dollárt veszített.

Számos Vyper 0.2.15-öt használó stablepoolt (alETH/msETH/pETH) kihasználtak egy hibásan működő visszalépési zár miatt. Felmérjük a helyzetet, és frissítjük a közösséget, ahogy a dolgok fejlődnek.

Más medencék biztonságosak. https://t.co/eWy2d3cDDj
- Curve Finance (@CurveFinance) Július 30, 2023

Ezeket a támadásokat követően Mihály Egorov, a Curve Finance vezérigazgatója megerősítette, hogy több mint 32 millió CRV token került kiürítésre a swap poolból több mint 22 millió dollár értékben. Ez a megerősítés a pánik nyomán érkezett DeFi ökoszisztéma, ami számos medencék közötti tranzakcióhoz és fehér kalapok mentőakciójához vezetett.

CoinMarketCap Az adatok azt mutatják, hogy a Curve Finance segédprogram tokenje, a Curve DAO (CRV) több mint 5%-kal csökkent a hír hatására. A CRV likviditása az elmúlt hónapokban jelentősen csökkent, így heves áringadozásokra hajlamos.

A jelentős károk ellenére a Curve Finance biztosította, hogy a crvUSD-szerződéseket és a hozzá kapcsolódó készleteket nem érinti a kihasználás. A feltörést követően a Curve Finance megerősítette az incidenst, és elismerte, hogy nem tudták időben biztosítani a medencét. Az Etherscan-en látható egyetlen tranzakció megerősítette a visszaélést.

Tranzakció az Etherscan-en

Kontextus

Ez a kizsákmányolás a legújabb a Curve Finance-t célzó incidensek sorozatában. Csak néhány nappal korábban egy támadó kihasználta az Omnipool platformot Conic Finance, ami 3.26 millió dollárt kapott az Etherben (ETH). Az elkövető egy gyors tranzakció során az ellopott szinte teljes összeget egy új Ethereum címre utalta át.

Jelenleg az ETH Omnipoolt érintő kizsákmányolást vizsgáljuk, és amint elérhetővé válnak, megosztjuk a frissítéseket.
— Conic Finance (@ConicFinance) Július 21, 2023

A Curve Finance feltörése egy szélesebb körű támadások része DeFi protokollok. A jelentés szerint a Web3 portfólió alkalmazás, De.Fi, DeFi a hackelések és csalások több mint 204 millió dolláros veszteséget jelentettek 2023 második negyedévében.

Visszafizetés és visszaküldés

Az incidens eredményeként a Curve alapítója azonnal intézkedett, és visszafizetett 4.63 millió USDT-t és letétbe helyezett 16 millió CRV-t (ami 10.12 millió dollárnak felel meg) AAVE. Jelenleg 293 millió CRV (értéke 181 millió dollár) biztosítéka és 59.68 millió USDT adóssága van az Aave-n, 1.69-es egészségügyi rátával.

Aave profil

Az események váratlan fordulata során egy titkosítási felhasználó a c0ffeebabe.eth 2,879 ETH-t (körülbelül 5.4 millió dollárt) juttatott vissza a Curve telepítőjének. Ez az esemény enyhítette a feltörés által okozott veszteséget.

Visszáru tranzakció az Etherscan-en

Után #Ív feltörték, az alapítója #curvefi visszafizetett 4.63M $ USDT és 16 milliót helyeztek el $ CRV (10.12 millió dollár). #ave.

Jelenleg 293 millióval rendelkezik $ CRV (181 millió dollár) biztosíték és 59.68 millió $ USDT az adósság #ave, 1.69-es egészségügyi mutatóval.https://t.co/stkFvDrlnv pic.twitter.com/tzYlt9Vmfk
— Lookonchain (@lookonchain) Július 31, 2023

The Aftermath

A nyomozók azonosították a hacker címét és a Curve feltöréssel kapcsolatban kihasznált pénzeszközök összegét is. Az eddig kiaknázott teljes mennyiség körülbelül 52 millió dollár.

Hackerek címei:

0xdce5d6b41c32f578f875efffc0d422c57a75d7d8: 7,259 ETH ($13.5M), related to AlchemixFi
0x6ec21d1868743a44318c3c259a6d4953f9978538

Ezekből az eseményekből egyértelműen kiderül DeFi a protokollok bár ígéretesek, még mindig megvannak a sebezhetőségeik. A protokolloknak és a felhasználóknak egyaránt ébernek és proaktívnak kell lenniük a legjobb biztonsági gyakorlatok megvalósításában és követésében.

Példátlan események

Ez valóban egy őrült nap volt a kriptográfia terén. Miközben sok kripto-rajongó játszott a Base-en, a Curve feltörése megtörtént, és 32 millió CRV token maradt a hacker kezében. Még megdöbbentőbb volt a 100 millió dolláros CRV felszámolás lehetősége az Aave-n 0.42 dollárért, bár az alapító erőfeszítéseket tett az adósság visszafizetésére.

Őrült nap a titkosításban.

Míg a degens a Base-en játszik, Curve-t 32 millió CRV tokennel törik fel a hacker kezében.

Ami még rosszabb, van egy 100 millió dolláros CRV-felszámolás az Aave-n 0.42 dollárért, de az alapító jelenleg törleszti az adósságot.

🤞 pic.twitter.com/9s0JSrNYgt
— Ignás | DeFi Kutatás (@DefiIgnas) Július 30, 2023

Curve Hack Elemzés

Ahogy a por leülepszik a Curve Finance feltörésén, az ökoszisztémára gyakorolt teljes hatás világossá válik. A támadás súlyos csapást mért a DeFi ökoszisztéma, különösen a közvetlen következményeket sújtó tokeneket érintve. Például több token értékének több mint 30%-át veszítette el a CRV kihasználása miatt.

A Curve alapítójának gyors reagálása az elveszett pénzeszközök egy részének visszafizetésére, és egy harmadik fél váratlan pénzvisszaadása, valamint az ironikus fordulat, hogy a hacker elvesztette az ellopott pénzeszközöket, némileg enyhítette a helyzetet. Ennek ellenére az incidens emlékeztet az intelligens szerződéseken belüli és tágabb értelemben vett potenciális sebezhetőségekre DeFi hely.

Fontos a projekteken belül DeFi teret biztosítanak a biztonsági intézkedésekbe való folyamatos befektetéshez, az intelligens szerződéseik ellenőrzéséhez, és készenléti tervek készítéséhez a lehetséges kihasználásokhoz. A felhasználóknak ébernek kell lenniük, és figyelembe kell venniük a kockázati tényezőket, amikor kapcsolatba lépnek velük DeFi platformokon.

A Curve Finance hack határozottan emlékeztet arra, hogy az innovatív és magas jutalomban rejlő potenciál a DeFi ágazat is jelentős kockázattal jár. Az ágazat kifejlődésével az az elvárás, hogy a fejlesztők és a szervezetek robusztus biztonsági intézkedéseket alkalmazzanak, mint általános gyakorlatot, ezzel kizárva az ilyen jellegű visszaélések valószínűségét a jövőben.

Bővebben:

Címkék:

A felelősség megtagadása

Összhangban a A Trust Project irányelvei, kérjük, vegye figyelembe, hogy az ezen az oldalon közölt információk nem minősülnek jogi, adózási, befektetési, pénzügyi vagy bármilyen más formájú tanácsnak, és nem is értelmezhetők. Fontos, hogy csak annyit fektessen be, amennyit megengedhet magának, hogy elveszítsen, és kérjen független pénzügyi tanácsot, ha kétségei vannak. További információkért javasoljuk, hogy tekintse meg a szerződési feltételeket, valamint a kibocsátó vagy hirdető által biztosított súgó- és támogatási oldalakat. MetaversePost elkötelezett a pontos, elfogulatlan jelentéstétel mellett, de a piaci feltételek előzetes értesítés nélkül változhatnak.

A szerzőről

Nik kiváló elemző és író a cégnél Metaverse Post, amely arra specializálódott, hogy élvonalbeli betekintést nyújtson a technológia rohanó világába, különös tekintettel az AI/ML-re, az XR-re, a VR-re, a láncon belüli elemzésekre és a blokklánc-fejlesztésre. Cikkei sokszínű közönséget vonzanak és tájékoztatnak, segítve őket a technológiai görbe előtt maradni. A közgazdasági és menedzsment mesterfokozattal rendelkező Nik szilárdan ismeri az üzleti világ árnyalatait és annak metszéspontját a feltörekvő technológiákkal.

További cikkek

Nik Asti