Buntut dari Curve Finance Hack
Keuangan desentralisasi (DeFi) industri menghadapi kemunduran signifikan lainnya. Keuangan Kurva, seorang yang menonjol DeFi protokol, dieksploitasi pada 30 Juli, menyebabkan kerugian melebihi $47 juta. Insiden ini merupakan konsekuensi dari kerentanan reentrancy di Vyper versi 0.2.15, 0.2.16, dan 0.3.0 yang digunakan beberapa kumpulan stabil di Curve Finance.
Kerentanan
Penyebab utama eksploitasi adalah kerusakan pada kunci reentrancy dari versi spesifik Vyper, bahasa pemrograman pythonic berorientasi kontrak yang menargetkan Ethereum Virtual Machine (EVM). Bahasa pemrograman ini adalah pilihan yang lebih disukai untuk transisi pengembang Python Web3 karena kemiripannya dengan Python.
Investigasi awal mengungkapkan bahwa versi kompiler Vyper ini tidak mengimplementasikan penjaga reentrancy dengan benar. Serangan reentrancy terjadi ketika kontrak dikunci, mencegah beberapa fungsi dieksekusi secara bersamaan. Jika tidak diterapkan dengan benar, ini berpotensi menguras semua dana dari kontrak. Ancilia, sebuah perusahaan keamanan, telah mengidentifikasi 136 kontrak yang digunakan Vyper 0.2.15, 98 kontrak menggunakan Vyper 0.2.16, dan 226 kontrak menggunakan Vyper 0.3.0 dengan perlindungan reentrancy.
Peretasan Kurva
Beberapa DeFi proyek terpengaruh oleh eksploitasi ini, yang menyebabkan arus keluar yang signifikan. Contohnya, Elipsis, pertukaran terdesentralisasi, melaporkan bahwa beberapa kumpulan stabil dengan BNB dieksploitasi menggunakan kompiler Vyper lama. alETH-ETH Alchemix menghasilkan arus keluar sebesar $13.6 juta. Kumpulan pETH-ETH JPEGd dieksploitasi sebesar $11.4 juta, dan kumpulan sETH-ETH Metronome kehilangan $1.6 juta.
Sejumlah stablepool (alETH/mSETH/pETH) yang menggunakan Vyper 0.2.15 telah dieksploitasi sebagai akibat dari kegagalan fungsi reentrancy lock. Kami menilai situasi dan akan memperbarui komunitas saat hal-hal berkembang.
- Keuangan Kurva (@CurveFinance) Juli 30, 2023
Kolam lainnya aman. https://t.co/eWy2d3cDDj
Menyusul serangan-serangan tersebut, Mikhail Egorov, CEO Curve Finance, mengonfirmasi bahwa lebih dari 32 juta token CRV senilai lebih dari $22 juta telah terkuras dari kumpulan swap. Konfirmasi ini datang di tengah kepanikan di seluruh DeFi ekosistem, yang mengarah ke banyak transaksi lintas kumpulan dan operasi penyelamatan oleh topi putih.
CoinMarketCap data menunjukkan bahwa token utilitas Curve Finance Curve DAO (CRV) turun lebih dari 5% sebagai reaksi terhadap berita tersebut. Likuiditas CRV telah menurun secara signifikan dalam beberapa bulan terakhir, membuatnya rentan terhadap perubahan harga yang hebat.
Meskipun mengalami kerusakan yang signifikan, Curve Finance meyakinkan bahwa kontrak crvUSD dan kumpulan apa pun yang terkait dengannya tidak terpengaruh oleh eksploitasi. Sebagai buntut dari peretasan, Curve Finance mengonfirmasi insiden tersebut dan mengakui bahwa mereka tidak dapat mengamankan kolam tepat waktu. Satu transaksi yang terlihat di Etherscan mengonfirmasi eksploitasi tersebut.
Konteks
Eksploitasi ini hadir sebagai yang terbaru dari serangkaian insiden yang menargetkan Curve Finance. Hanya beberapa hari sebelumnya, seorang penyerang mengeksploitasi platform omnipool Keuangan Kerucut, menghasilkan $3.26 juta dalam bentuk Ether (ETH). Pelaku mentransfer hampir seluruh jumlah yang dicuri ke alamat Ethereum baru dalam satu transaksi cepat.
Kami sedang menyelidiki eksploit yang melibatkan ETH Omnipool dan akan membagikan pembaruan segera setelah tersedia.
— Keuangan Kerucut (@ConicFinance) Juli 21, 2023
Peretasan Curve Finance adalah bagian dari pola serangan yang lebih luas DeFi protokol. Menurut laporan dari Web3 aplikasi portofolio, De.Fi, DeFi peretasan dan penipuan menyumbang kerugian lebih dari $204 juta hanya dalam kuartal kedua tahun 2023.
Pelunasan & Pengembalian
Sebagai akibat dari insiden tersebut, pendiri Curve segera bertindak dan melunasi 4.63 juta USDT dan menyetorkan 16 juta CRV (setara dengan $10.12 juta) pada Aave. Saat ini, dia memiliki jaminan sebesar 293 juta CRV (senilai $181 juta) dan hutang sebesar 59.68 juta USDT di Aave, dengan tingkat kesehatan 1.69.
Dalam kejadian yang tidak terduga, seorang pengguna crypto bernama c0ffeebabe.eth mengembalikan 2,879 ETH (sekitar $5.4 juta) ke Curve deployer. Peristiwa ini telah mengurangi beberapa kerugian yang disebabkan oleh peretasan.
Kembalikan Transaksi di Etherscan
Setelah #Melengkung diretas, pendiri #curvefi dilunasi 4.63M $ USDT dan menyetor 16 juta $ CRV ($10.12 juta) aktif #ave.
— Lihat rantai (@lookonchain) Juli 31, 2023
Dia saat ini memiliki 293M $ CRV ($181M) jaminan dan 59.68M $ USDT utang pada #ave, dengan angka kesehatan 1.69.https://t.co/stkFvDrlnv pic.twitter.com/tzYlt9Vmfk
Aftermath tersebut
Penyelidik juga mengidentifikasi alamat peretas dan jumlah dana yang dieksploitasi sehubungan dengan peretasan Curve. Jumlah total yang dieksploitasi sejauh ini adalah sekitar $52 juta.
Alamat Peretas:
- 0xdce5d6b41c32f578f875efffc0d422c57a75d7d8: 7,259 ETH ($13.5M), related to AlchemixFi
- 0x6ec21d1868743a44318c3c259a6d4953f9978538
Dari peristiwa ini, jelas bahwa DeFi protokol, meskipun menjanjikan, masih memiliki kerentanannya. Protokol dan pengguna sama-sama harus tetap waspada dan proaktif dalam menerapkan dan mengikuti praktik keamanan terbaik.
Peristiwa yang belum pernah terjadi sebelumnya
Ini memang hari yang gila di crypto. Sementara banyak penggemar crypto berjudi di Base, peretasan Curve terjadi, meninggalkan 32 juta token CRV di tangan peretas. Yang lebih mengejutkan lagi adalah potensi likuidasi CRV senilai $100 juta di Aave dengan harga $0.42 USD, meskipun sang pendiri telah berupaya untuk melunasi utangnya.
Hari gila di crypto.
— Ignas | DeFi Riset (@DefiIgnas) Juli 30, 2023
Saat degen berjudi di Base, Curve diretas dengan token CRV 32M di tangan peretas.
Lebih buruk lagi, ada likuidasi CRV senilai $100 juta di Aave dengan harga $0.42 USD, tetapi pendirinya saat ini sedang melunasi utangnya.
🤞 pic.twitter.com/9s0JSrNYgt
Peretasan Kurva Analisis
Saat debu mengendap pada peretasan Curve Finance, dampak penuh pada ekosistem menjadi jelas. Serangan itu memberikan pukulan telak bagi DeFi ekosistem, terutama berdampak pada token yang mengalami konsekuensi langsung. Misalnya, beberapa token kehilangan lebih dari 30% nilainya karena eksploitasi CRV.
Tanggapan cepat oleh pendiri Curve untuk membayar kembali sebagian dana yang hilang dan pengembalian dana yang tidak terduga oleh pihak ketiga, bersama dengan ironisnya peretas yang kehilangan dana yang dicuri, telah sedikit meredakan situasi. Namun, insiden tersebut berfungsi sebagai pengingat potensi kerentanan dalam kontrak pintar dan yang lebih luas DeFi ruang.
Penting untuk proyek dalam DeFi ruang untuk terus berinvestasi dalam langkah-langkah keamanan, mengaudit kontrak pintar mereka, dan membuat rencana darurat untuk kemungkinan eksploitasi. Pengguna juga harus waspada dan mempertimbangkan faktor risiko saat berinteraksi dengan DeFi platform.
Peretasan Curve Finance adalah pengingat nyata bahwa potensi inovatif dan penghargaan tinggi dari DeFi sektor juga datang dengan risiko yang signifikan. Dengan pematangan sektor ini, diharapkan pengembang dan organisasi akan mengadopsi langkah-langkah keamanan yang kuat sebagai praktik standar, sehingga mencegah kemungkinan eksploitasi semacam itu di masa mendatang.
Baca lebih lanjut:
- 16 Universitas Terbaik untuk Metaverse dan Web3: Pendidikan, Penelitian
- 50 Best NFT Pasar untuk Kreator: Daftar Utama 2022
- Top 7 NFT Layanan Nawala Berlangganan Sekarang Juga
Penolakan tanggung jawab
Sejalan dengan Percayai pedoman Proyek, harap dicatat bahwa informasi yang diberikan pada halaman ini tidak dimaksudkan untuk dan tidak boleh ditafsirkan sebagai nasihat hukum, pajak, investasi, keuangan, atau bentuk nasihat lainnya. Penting untuk hanya menginvestasikan jumlah yang mampu Anda tanggung kerugiannya dan mencari nasihat keuangan independen jika Anda ragu. Untuk informasi lebih lanjut, kami menyarankan untuk merujuk pada syarat dan ketentuan serta halaman bantuan dan dukungan yang disediakan oleh penerbit atau pengiklan. MetaversePost berkomitmen terhadap pelaporan yang akurat dan tidak memihak, namun kondisi pasar dapat berubah tanpa pemberitahuan.
Tentang Penulis
Nik adalah analis dan penulis ulung di Metaverse Post, yang berspesialisasi dalam memberikan wawasan mutakhir ke dalam dunia teknologi yang bergerak cepat, dengan penekanan khusus pada AI/ML, XR, VR, analitik on-chain, dan pengembangan blockchain. Artikel-artikelnya melibatkan dan menginformasikan audiens yang beragam, membantu mereka tetap berada di depan kurva teknologi. Memiliki gelar Master di bidang Ekonomi dan Manajemen, Nik memiliki pemahaman yang kuat tentang nuansa dunia bisnis dan persinggungannya dengan teknologi baru.
lebih artikel
Nik adalah analis dan penulis ulung di Metaverse Post, yang berspesialisasi dalam memberikan wawasan mutakhir ke dalam dunia teknologi yang bergerak cepat, dengan penekanan khusus pada AI/ML, XR, VR, analitik on-chain, dan pengembangan blockchain. Artikel-artikelnya melibatkan dan menginformasikan audiens yang beragam, membantu mereka tetap berada di depan kurva teknologi. Memiliki gelar Master di bidang Ekonomi dan Manajemen, Nik memiliki pemahaman yang kuat tentang nuansa dunia bisnis dan persinggungannya dengan teknologi baru.
