カーブ・ファイナンス・ハッキングの余波
分散型金融(DeFi)業界はまた大きな後退に直面している。 カーブファイナンス、著名な DeFi このプロトコルが悪用されたのは 30 月 47 日で、0.2.15 万ドルを超える損失が発生しました。 このインシデントは、Curve Finance のいくつかの安定したプールが使用していた Vyper バージョン 0.2.16、0.3.0、および XNUMX の再入可能脆弱性の結果でした。
脆弱性
このエクスプロイトの主な原因は、イーサリアム仮想マシン (EVM) をターゲットとするコントラクト指向の Python プログラミング言語である Vyper の特定バージョンの再入ロックの誤動作でした。 このプログラミング言語は、Python 開発者が Python に移行する際に推奨される選択肢です。 Web3 Python に似ているためです。
初期調査により、これらの Vyper コンパイラ バージョンが再入ガードを正しく実装していないことが明らかになりました。 コントラクトがロックされている場合、再入攻撃が発生し、複数の機能が同時に実行されなくなります。 正しく実装されていない場合、契約からすべての資金が流出する可能性があります。 セキュリティ会社 Ancilia は、以下を使用した 136 件の契約を特定しました。 ヴァイパー 0.2.15、Vyper 98 を使用する 0.2.16 コントラクト、および再入保護を備えた Vyper 226 を使用する 0.3.0 コントラクト。
カーブハック
いくつかの DeFi プロジェクトはこのエクスプロイトの影響を受け、重大な流出につながりました。 例えば、 省略記号分散型取引所である、BNB のいくつかの安定したプールが古い Vyper コンパイラーを使用して悪用されたと報告しました。 アルケミックスのalETH-ETHでは13.6万ドルの流出があった。 JPEGdのpETH-ETHプールは11.4万ドル悪用され、MetronomeのsETH-ETHプールは1.6万ドルを失いました。
Vyper 0.2.15 を使用する多くの安定したプール (alETH/msETH/pETH) は、再入ロックの誤動作の結果として悪用されています。 私たちは状況を評価しており、事態の進展に応じてコミュニティを更新します。
—カーブファイナンス(@CurveFinance) 2022年7月11日
他のプールは安全です。 https://t.co/eWy2d3cDDj
こうした攻撃を受けて、 マイケル・エゴロフ、カーブ・ファイナンスのCEOは、32万ドル以上相当の22万以上のCRVトークンがスワッププールから流出したことを認めた。 この確認は、世界中でパニックが起きた後に発表された。 DeFi エコシステムを破壊し、プール間での多数のトランザクションとホワイトハットによる救助活動につながりました。
CoinMarketCap データによると、Curve FinanceのユーティリティトークンCurve DAO(CRV)は、このニュースに反応して5%以上下落した。 CRVの流動性はここ数カ月で大幅に減少しており、激しい価格変動が起こりやすくなっている。
重大な被害にもかかわらず、Curve Finance は crvUSD 契約とそれに関連するプールがエクスプロイトの影響を受けていないことを保証しました。 ハッキングの余波を受けて、カーブ・ファイナンスは事件を認め、プールの確保が間に合わなかったことを認めた。 Etherscan 上で確認できる XNUMX つのトランザクションでエクスプロイトが確認されました。
コンテキスト
このエクスプロイトは、Curve Finance を標的とした一連のインシデントの最新のものとして発生しました。 ほんの数日前には、攻撃者がオムニプール プラットフォームを悪用しました。 円錐金融、イーサ(ETH)で3.26万ドルを儲けました。 犯人は、盗んだ金額のほぼ全額を、XNUMX 回の迅速な取引で新しいイーサリアム アドレスに送金しました。
現在、ETH オムニプールに関連するエクスプロイトを調査しており、更新情報が入手可能になり次第共有します。
— コニック・ファイナンス (@ConicFinance) 2022年7月11日
Curve Finance のハッキングは、広範な攻撃パターンの一部です。 DeFi プロトコル。 からの報告によると、 Web3 ポートフォリオ アプリ、De.Fi、 DeFi ハッキングや詐欺による損失は、204 年の第 2023 四半期だけで XNUMX 億 XNUMX 万ドルを超えました。
返金と返品
この事件の結果、Curve の創設者は迅速に行動し、4.63 万 USDT を返済し、16 万 CRV (10.12 万ドルに相当) を入金しました。 Aave。 現在、彼は Aave で 293 億 181 万 CRV (59.68 億 1.69 万ドル相当) の担保と XNUMX 万 USDT の負債を抱えており、健康率は XNUMX です。
予期せぬ事態の展開で、次のような仮想通貨ユーザーが c0ffeebabe.eth 2,879 ETH (約 5.4 万ドル) を Curve デプロイヤーに返却しました。 このイベントにより、ハッキングによる損失の一部が軽減されました。
後 #曲線 の創設者がハッキングされた #カーブフィ 4.63万を返済 $ USDT そして16万を入金しました $ CRV (10.12 万ドル) #アーヴ.
— Lookonchain (@lookonchain) 2022年7月11日
彼は現在293億XNUMX万を持っています $ CRV (181億59.68万ドル)の担保とXNUMX万 $ USDT 借金の #アーヴ、健康率は1.69です。https://t.co/stkFvDrlnv pic.twitter.com/tzYlt9Vmfk
余波
捜査当局はまた、ハッカーの住所とカーブのハッキングに関連して悪用された資金の額も特定した。 これまでに悪用された総額は約52万ドルです。
ハッカーのアドレス:
- 0xdce5d6b41c32f578f875efffc0d422c57a75d7d8: 7,259 ETH ($13.5M), related to AlchemixFi
- 0x6ec21d1868743a44318c3c259a6d4953f9978538
これらの出来事から明らかなのは、 DeFi これらのプロトコルは有望ではありますが、依然として脆弱性を抱えています。 プロトコルとユーザーは同様に、セキュリティのベスト プラクティスを実装および従う際に常に警戒し、積極的に取り組む必要があります。
前例のない出来事
本当に、仮想通貨にとってはクレイジーな一日でした。 多くの暗号通貨愛好家がBaseでギャンブルをしていたときにCurveハッキングが発生し、32万のCRVトークンがハッカーの手に渡った。 さらに衝撃的だったのは、創設者は債務を返済するために努力しているにもかかわらず、Aave で 100 億ドルの CRV が 0.42 米ドルで清算される可能性があることでした。
暗号通貨のクレイジーな一日。
— イグナス | DeFi リサーチ (@Defiイグナス) 2022年7月11日
Degens が Base でギャンブルをしている間、Curve はハッキングされ、ハッカーの手に 32 万 CRV トークンが渡されました。
さらに悪いことに、Aave では 100 米ドルで 0.42 億ドルの CRV 清算が行われていますが、創設者は現在借金を返済中です。
🤞 pic.twitter.com/9s0JSrNYgt
カーブハック 分析
Curve Finance ハッキングの問題が解決するにつれ、エコシステムへの影響の全貌が明らかになりつつあります。 その攻撃は大打撃を与えた DeFi エコシステム、特に直接的な影響を受けたトークンに影響を与えました。 たとえば、CRV エクスプロイトにより、いくつかのトークンはその価値の 30% 以上を失いました。
失われた資金の一部を返済するというカーブ創設者による迅速な対応と、第三者による予期せぬ資金の返還、そして盗まれた資金をハッカーが失うという皮肉な展開により、状況はわずかに緩和されました。 それでも、このインシデントは、スマートコントラクトやより広範囲にわたる潜在的な脆弱性を思い出させるものとなっています。 DeFi スペース。
内のプロジェクトにとって重要です。 DeFi セキュリティ対策に継続的に投資し、スマートコントラクトを監査し、潜在的な悪用に備えた緊急時対応計画を作成するためのスペース。 ユーザーは、ユーザーと対話する際には警戒し、リスク要因を考慮する必要があります。 DeFi プラットフォーム。
Curve Finance のハッキングは、Curve Finance の革新的で高額な報酬の可能性をはっきりと思い出させます。 DeFi セクターにも重大なリスクが伴います。 この分野の成熟に伴い、開発者や組織は標準的な慣行として堅牢なセキュリティ対策を採用し、それによって将来そのような悪用の可能性を排除することが期待されています。
続きを読む:
- メタバースおよびメタバースに最適な大学 16 校 Web3: 教育、研究
- 50ベスト NFT クリエイター向けマーケットプレイス: Ultimate List 2022
- トップ7 NFT 今すぐ購読できるニュースレター サービス
免責事項
に沿って トラストプロジェクトのガイドライン, このページで提供される情報は、法律、税金、投資、財務、またはその他の形式のアドバイスを目的としたものではなく、そのように解釈されるべきではないことに注意してください。 損失しても許容できる金額のみを投資し、疑問がある場合は独立した財務上のアドバイスを求めることが重要です。 詳細については、利用規約のほか、発行者または広告主が提供するヘルプおよびサポート ページを参照することをお勧めします。 MetaversePost は正確で公平なレポートに努めていますが、市場の状況は予告なく変更される場合があります。
著者について
ニックは、熟練したアナリスト兼ライターです。 Metaverse Post、特に AI/ML、XR、VR、オンチェーン分析、ブロックチェーン開発に重点を置き、ペースの速いテクノロジーの世界に対する最先端の洞察を提供することに特化しています。 彼の記事はさまざまな読者を惹きつけて情報を提供し、テクノロジーの進歩を先取りするのに役立ちます。 経済学と経営学の修士号を取得しているニックは、ビジネスの世界の微妙な違いと、新しいテクノロジーとの関わりをしっかりと理解しています。
より多くの記事ニックは、熟練したアナリスト兼ライターです。 Metaverse Post、特に AI/ML、XR、VR、オンチェーン分析、ブロックチェーン開発に重点を置き、ペースの速いテクノロジーの世界に対する最先端の洞察を提供することに特化しています。 彼の記事はさまざまな読者を惹きつけて情報を提供し、テクノロジーの進歩を先取りするのに役立ちます。 経済学と経営学の修士号を取得しているニックは、ビジネスの世界の微妙な違いと、新しいテクノロジーとの関わりをしっかりと理解しています。