Le conseguenze dell'hack finanziario della curva
La finanza decentralizzata (DeFi) l'industria ha dovuto affrontare un'altra battuta d'arresto significativa. Finanza Curva, un prominente DeFi protocollo, è stato sfruttato il 30 luglio, portando a perdite superiori a 47 milioni di dollari. Questo incidente è stato una conseguenza di una vulnerabilità di rientro nelle versioni Vyper 0.2.15, 0.2.16 e 0.3.0 utilizzate da diversi pool stabili su Curve Finance.
La vulnerabilità
La causa principale dell'exploit è stato un malfunzionamento nei blocchi di rientro di versioni specifiche di Vyper, un linguaggio di programmazione Python orientato al contratto che prende di mira l'Ethereum Virtual Machine (EVM). Questo linguaggio di programmazione è la scelta preferita per gli sviluppatori Python che stanno passando a Web3 a causa della sua somiglianza con Python.
L'indagine iniziale rivela che queste versioni del compilatore Vyper non implementano correttamente la protezione del rientro. Gli attacchi di rientro si verificano quando un contratto è bloccato, impedendo l'esecuzione simultanea di più funzioni. Se non implementato correttamente, questo può potenzialmente drenare tutti i fondi da un contratto. Ancilia, una società di sicurezza, ha identificato 136 contratti utilizzando Vyper 0.2.15, 98 contratti che utilizzano Vyper 0.2.16 e 226 contratti che utilizzano Vyper 0.3.0 con protezione dal rientro.
Curva Hack
Alcuni DeFi i progetti sono stati colpiti da questo exploit, portando a notevoli deflussi. Ad esempio, ellissi, uno scambio decentralizzato, ha riferito che alcuni pool stabili con BNB sono stati sfruttati utilizzando un vecchio compilatore Vyper. AlETH-ETH di Alchemix ha registrato un deflusso di 13.6 milioni di dollari. Il pool pETH-ETH di JPEGd è stato sfruttato per 11.4 milioni di dollari e il pool sETH-ETH di Metronome ha perso 1.6 milioni di dollari.
Un certo numero di stablepool (alETH/msETH/pETH) che utilizzano Vyper 0.2.15 sono stati sfruttati a causa di un malfunzionamento del blocco di rientranza. Stiamo valutando la situazione e aggiorneremo la community man mano che le cose si sviluppano.
- Curve Finance (@CurveFinance) Luglio 30, 2023
Altre piscine sono sicure. https://t.co/eWy2d3cDDj
A seguito di questi attacchi, Michele Egorov, il CEO di Curve Finance, ha confermato che oltre 32 milioni di token CRV per un valore di oltre 22 milioni di dollari sono stati drenati dallo swap pool. Questa conferma è arrivata sulla scia del panico generale DeFi ecosistema, portando a numerose transazioni tra pool e a un’operazione di salvataggio da parte dei cappelli bianchi.
CoinMarketCap i dati mostrano che l'utility token Curve DAO (CRV) di Curve Finance è sceso di oltre il 5% in reazione alla notizia. La liquidità di CRV è diminuita notevolmente negli ultimi mesi, rendendola soggetta a violente oscillazioni dei prezzi.
Nonostante il danno significativo, Curve Finance ha assicurato che i contratti crvUSD e tutti i pool ad esso associati non sono stati interessati dall'exploit. All'indomani dell'hack, Curve Finance ha confermato l'incidente e ha ammesso di non essere riuscita a mettere in sicurezza il pool in tempo. Una singola transazione visibile su Etherscan ha confermato l'exploit.
Contesto
Questo exploit arriva come l'ultimo di una serie di incidenti che prendono di mira Curve Finance. Solo pochi giorni prima, un utente malintenzionato ha sfruttato la piattaforma omnipool di Finanza conica, guadagnando 3.26 milioni di dollari in Ether (ETH). L'autore ha trasferito quasi l'intera somma rubata a un nuovo indirizzo Ethereum in una rapida transazione.
Attualmente stiamo indagando su un exploit che coinvolge l'ETH Omnipool e condivideremo gli aggiornamenti non appena saranno disponibili.
— Conic Finance (@ConicFinance) Luglio 21, 2023
L'hacking di Curve Finance fa parte di un modello più ampio di attacchi DeFi protocolli. Secondo un rapporto del Web3 app portafoglio, De.Fi, DeFi Gli attacchi hacker e le truffe hanno causato perdite per oltre 204 milioni di dollari solo nel secondo trimestre del 2023.
Rimborso e restituzione
A seguito dell'incidente, il fondatore di Curve ha agito prontamente e ha rimborsato 4.63 milioni di USDT e depositato 16 milioni di CRV (equivalenti a $ 10.12 milioni) su AAVE. Attualmente, ha una garanzia di 293 milioni di CRV (valutata a $ 181 milioni) e un debito di 59.68 milioni di USDT su Aave, con un tasso sanitario di 1.69.
In una svolta inaspettata degli eventi, un utente crittografico di nome c0ffeebabe.eth ha restituito 2,879 ETH (circa $ 5.4 milioni) al distributore di Curve. Questo evento ha mitigato parte della perdita causata dall'attacco.
Transazione di reso su Etherscan
Dopo shavasana, sedersi in silenzio; saluti; #Curva è stato violato, il fondatore di #curvefi rimborsato 4.63 milioni $ USDT e depositato 16 milioni $ CRV ($ 10.12 milioni) su #Ave.
—Lookonchain (@lookonchain) Luglio 31, 2023
Attualmente ha 293M $ CRV ($ 181 milioni) di garanzie e 59.68 milioni $ USDT di debito su #Ave, con un tasso sanitario di 1.69.https://t.co/stkFvDrlnv pic.twitter.com/tzYlt9Vmfk
The Aftermath
Gli investigatori hanno anche identificato gli indirizzi dell'hacker e l'ammontare dei fondi sfruttati in relazione all'hacking di Curve. L'importo totale sfruttato finora è di circa $ 52 milioni.
Indirizzi degli hacker:
- 0xdce5d6b41c32f578f875efffc0d422c57a75d7d8: 7,259 ETH ($13.5M), related to AlchemixFi
- 0x6ec21d1868743a44318c3c259a6d4953f9978538
Da questi eventi, è chiaro DeFi i protocolli, sebbene promettenti, presentano ancora le loro vulnerabilità. Sia i protocolli che gli utenti dovrebbero rimanere vigili e proattivi nell’implementazione e nel rispetto delle migliori pratiche di sicurezza.
Eventi senza precedenti
È stata davvero una giornata pazza per le criptovalute. Mentre molti appassionati di crittografia stavano scommettendo su Base, si è verificato l'hack di Curve, lasciando 32 milioni di token CRV nelle mani dell'hacker. Ancora più scioccante è stato il potenziale per una liquidazione CRV da $ 100 milioni su Aave a $ 0.42 USD, sebbene il fondatore abbia compiuto sforzi per ripagare il debito.
Giornata folle in criptovaluta.
— Igna | DeFi Ricerca (@DefiIgnas) Luglio 30, 2023
Mentre i degenerati scommettono su Base, Curve viene hackerata con 32 milioni di token CRV nelle mani dell'hacker.
Quel che è peggio, c'è una liquidazione CRV da $ 100 milioni su Aave a $ 0.42 USD, ma il fondatore sta attualmente ripagando il debito.
🤞 pic.twitter.com/9s0JSrNYgt
Curva Hack Analisi
Mentre le acque si depositano sull’hacking di Curve Finance, il pieno impatto sull’ecosistema sta diventando chiaro. L'attacco ha inferto un duro colpo al DeFi ecosistema, incidendo soprattutto sui token che hanno subito conseguenze dirette. Ad esempio, diversi token hanno perso oltre il 30% del loro valore a causa dell’exploit CRV.
La rapida risposta del fondatore di Curve per ripagare parte dei fondi persi e l'inaspettata restituzione dei fondi da parte di terzi, insieme all'ironia della perdita dei fondi rubati da parte dell'hacker, hanno leggermente mitigato la situazione. Tuttavia, l’incidente serve a ricordare le potenziali vulnerabilità all’interno dei contratti intelligenti e in generale DeFi spazio.
È importante per i progetti all'interno del DeFi spazio per investire continuamente in misure di sicurezza, verificare i propri contratti intelligenti e creare piani di emergenza per possibili exploit. Gli utenti devono anche essere vigili e considerare i fattori di rischio quando interagiscono con DeFi piattaforme.
L'hacking di Curve Finance è un chiaro promemoria del potenziale innovativo e altamente remunerativo del DeFi Anche il settore comporta rischi significativi. Con la maturazione del settore, l'aspettativa è che gli sviluppatori e le organizzazioni adottino solide misure di sicurezza come pratica standard, prevenendo così la probabilità di tali exploit in futuro.
Leggi di più:
- 16 migliori università per Metaverse e Web3: Istruzione, Ricerca
- 50 Migliore NFT Marketplace per i creatori: Ultimate List 2022
- Top 7 NFT Servizi di newsletter da iscrivere subito
Negazione di responsabilità
In linea con la Linee guida del progetto Trust, si prega di notare che le informazioni fornite in questa pagina non intendono essere e non devono essere interpretate come consulenza legale, fiscale, di investimento, finanziaria o di qualsiasi altra forma. È importante investire solo ciò che puoi permetterti di perdere e chiedere una consulenza finanziaria indipendente in caso di dubbi. Per ulteriori informazioni, suggeriamo di fare riferimento ai termini e alle condizioni nonché alle pagine di aiuto e supporto fornite dall'emittente o dall'inserzionista. MetaversePost si impegna a fornire report accurati e imparziali, ma le condizioni di mercato sono soggette a modifiche senza preavviso.
Circa l'autore
Nik è un esperto analista e scrittore di Metaverse Post, specializzata nella fornitura di approfondimenti all'avanguardia nel frenetico mondo della tecnologia, con un'enfasi particolare su AI/ML, XR, VR, analisi on-chain e sviluppo blockchain. I suoi articoli coinvolgono e informano un pubblico eterogeneo, aiutandolo a stare al passo con la curva tecnologica. In possesso di un Master in Economia e Management, Nik ha una solida conoscenza delle sfumature del mondo degli affari e della sua intersezione con le tecnologie emergenti.
Altri articoliNik è un esperto analista e scrittore di Metaverse Post, specializzata nella fornitura di approfondimenti all'avanguardia nel frenetico mondo della tecnologia, con un'enfasi particolare su AI/ML, XR, VR, analisi on-chain e sviluppo blockchain. I suoi articoli coinvolgono e informano un pubblico eterogeneo, aiutandolo a stare al passo con la curva tecnologica. In possesso di un Master in Economia e Management, Nik ha una solida conoscenza delle sfumature del mondo degli affari e della sua intersezione con le tecnologie emergenti.