Jūlijs 31, 2023

Curve finanšu uzlaušanas sekas

Publicēts: 31. gada 2023. jūlijā, plkst. 2:14 Atjaunināts: 31. gada 2023. jūlijā, plkst. 2:37

Rediģēts un pārbaudīts ar faktiem: 31. gada 2023. jūlijs, plkst. 2:14

Decentralizētais finansējums (DeFi) nozare ir saskārusies ar vēl vienu būtisku neveiksmi. Līknes finansēšana, ievērojams DeFi protokols, tika izmantots 30. jūlijā, kā rezultātā zaudējumi pārsniedza 47 miljonus ASV dolāru. Šo incidentu izraisīja atkārtotas ievadīšanas ievainojamība Vyper versijās 0.2.15, 0.2.16 un 0.3.0, ko izmantoja vairāki Curve Finance stabilie pūli.

Neaizsargātība

Galvenais ļaunprātīgas izmantošanas iemesls bija nepareiza darbība konkrētu Vyper versiju, uz līgumu orientētas, pitoniskas programmēšanas valodas, kuras mērķis ir Ethereum virtuālā mašīna (EVM), versiju atkārtotas ievadīšanas slēdzenēs. Šī programmēšanas valoda ir vēlama izvēle Python izstrādātājiem, kuri pāriet uz to Web3 pateicoties tā līdzībai ar Python.

Sākotnējā izmeklēšana atklāj, ka šajās Vyper kompilatoru versijās nav pareizi ieviesta atkārtotas piekļuves aizsardzība. Atkārtotas ienākšanas uzbrukumi notiek, kad līgums ir bloķēts, neļaujot vienlaikus izpildīt vairākas funkcijas. Ja tas netiek īstenots pareizi, tas, iespējams, var iztērēt visus līguma līdzekļus. Apsardzes firma Ancilia ir identificējusi 136 līgumus, izmantojot Vypers 0.2.15, 98 līgumi, izmantojot Vyper 0.2.16, un 226 līgumi, izmantojot Vyper 0.3.0 ar atkārtotas ieejas aizsardzību.

Curve Hack

Vairāki DeFi šī izmantošana ietekmēja projektus, izraisot ievērojamu aizplūšanu. Piemēram, elipse, decentralizēta birža, ziņoja, ka daži stabili pūli ar BNB tika izmantoti, izmantojot veco Vyper kompilatoru. Alchemix alETH-ETH aizplūda 13.6 miljonu ASV dolāru apmērā. JPEGd pETH-ETH kopums tika izmantots par 11.4 miljoniem ASV dolāru, un Metronome sETH-ETH baseins zaudēja 1.6 miljonus ASV dolāru.

Vairāki stabilie baseini (alETH/msETH/pETH), kas izmanto Vyper 0.2.15, ir izmantoti nepareizi funkcionējošas atkārtotas ieejas bloķēšanas dēļ. Mēs novērtējam situāciju un informēsim sabiedrību, kad lietas attīstās.

Citi baseini ir droši. https://t.co/eWy2d3cDDj
- Līkņu finanses (@CurveFinance) Jūlijs 30, 2023

Pēc šiem uzbrukumiem, Mihaels Jegorovs, Curve Finance izpilddirektors, apstiprināja, ka no mijmaiņas pūla tika izņemti vairāk nekā 32 miljoni CRV marķieru vairāk nekā 22 miljonu ASV dolāru vērtībā. Šis apstiprinājums nāca pēc panikas visā valstī DeFi ekosistēmu, izraisot daudzus darījumus starp baseiniem un glābšanas operāciju ar balto cepuru palīdzību.

CoinMarketCap dati liecina, ka Curve Finance lietderības marķieris Curve DAO (CRV) samazinājās par vairāk nekā 5%, reaģējot uz jaunumiem. CRV likviditāte pēdējos mēnešos ir ievērojami samazinājusies, padarot to pakļautu vardarbīgām cenu svārstībām.

Neskatoties uz ievērojamo kaitējumu, Curve Finance apliecināja, ka crvUSD līgumus un visus ar to saistītos pūlus nav ietekmējusi izmantošana. Pēc uzlaušanas Curve Finance apstiprināja incidentu un atzina, ka viņi nevarēja savlaicīgi nodrošināt baseinu. Viens Etherscan redzamais darījums apstiprināja izmantošanu.

Darījums vietnē Etherscan

konteksts

Šis izmantojums ir jaunākais incidentu sērijā, kas vērsta uz Curve Finance. Tikai dažas dienas iepriekš kāds uzbrucējs izmantoja omnipool platformu Conic Finance, iegūstot 3.26 miljonus ASV dolāru ēterā (ETH). Noziedznieks vienā ātrā darījumā pārskaitīja gandrīz visu nozagto summu uz jaunu Ethereum adresi.

Mēs pašlaik izmeklējam ekspluatāciju, kas saistīta ar ETH Omnipool, un kopīgosim atjauninājumus, tiklīdz tie būs pieejami.
— Conic Finance (@ConicFinance) Jūlijs 21, 2023

Curve Finance uzlaušana ir daļa no plašāka uzbrukumu modeļa DeFi protokoli. Saskaņā ar ziņojumu no Web3 portfeļa lietotne, De.Fi, DeFi tikai 204. gada otrajā ceturksnī uzlaušanas un krāpniecības rezultātā tika radīti vairāk nekā 2023 miljonu dolāru zaudējumi.

Atmaksa un atgriešana

Incidenta rezultātā Curve dibinātājs rīkojās nekavējoties un atmaksāja 4.63 miljonus USDT un noguldīja 16 miljonus CRV (atbilst 10.12 miljoniem USD). Aave. Pašlaik viņam ir ķīla 293 miljonu CRV apmērā (vērtība 181 miljons ASV dolāru) un parāds 59.68 miljoni USDT Aave ar veselības likmi 1.69.

Aave profils

Negaidītā notikumu pavērsienā kāds kriptogrāfijas lietotājs nosauca c0ffeebabe.eth atdeva 2,879 ETH (apmēram 5.4 miljonus USD) Curve izvietotājam. Šis notikums ir mazinājis daļu no uzlaušanas radītajiem zaudējumiem.

Atgriešanas darījums vietnē Etherscan

Pēc #Līkne tika uzlauzts, dibinātājs #Curvefi atmaksāti 4.63 milj USD USDT un noguldīti 16 milj $ CRV (10.12 miljoni ASV dolāru). #Aave.

Viņam šobrīd ir 293 milj $ CRV (181 miljons USD) ķīlas un 59.68 miljoni USD USDT par parādu #Aave, ar veselības rādītāju 1.69.https://t.co/stkFvDrlnv pic.twitter.com/tzYlt9Vmfk
— Lookonchain (@lookonchain) Jūlijs 31, 2023

Atskaņas

Izmeklētāji arī noskaidroja hakeru adreses un saistībā ar Curve uzlaušanu izmantoto līdzekļu apjomu. Kopējā līdz šim izmantotā summa ir aptuveni 52 miljoni USD.

Hakeru adreses:

0xdce5d6b41c32f578f875efffc0d422c57a75d7d8: 7,259 ETH ($13.5M), related to AlchemixFi
0x6ec21d1868743a44318c3c259a6d4953f9978538

No šiem notikumiem ir skaidrs, ka DeFi protokoliem, lai arī tie ir daudzsološi, joprojām ir savas ievainojamības. Gan protokoliem, gan lietotājiem vajadzētu būt modriem un aktīviem, ieviešot un ievērojot labāko drošības praksi.

Bezprecedenta notikumi

Tā patiešām ir bijusi traka diena kriptovalūtu jomā. Kamēr daudzi kriptogrāfijas entuziasti spēlēja azartspēles Base, notika Curve uzlaušana, atstājot hakera rokās 32 miljonus CRV žetonu. Vēl šokējošāka bija iespēja par 100 miljonu ASV dolāru CRV likvidāciju Aave par USD 0.42, lai gan dibinātājs ir pielicis pūles, lai atmaksātu parādu.

Traka diena kriptovalūtā.

Kamēr degens spēlē Base, Curve tiek uzlauzts ar 32 miljoniem CRV žetonu hakera rokās.

Vēl ļaunāk ir tas, ka Aave ir 100 miljonu dolāru CRV likvidācija par 0.42 USD, bet dibinātājs pašlaik atmaksā parādu.

🤞 pic.twitter.com/9s0JSrNYgt
— Ignas | DeFi Pētījums (@DefiIgnas) Jūlijs 30, 2023

Curve Hack Analīze

Kad putekļi nosēžas uz Curve Finance uzlaušanas, kļūst skaidra visa ietekme uz ekosistēmu. Uzbrukums guva smagu triecienu DeFi ekosistēmu, īpaši ietekmējot žetonus, kas cieta tiešas sekas. Piemēram, vairāki žetoni zaudēja vairāk nekā 30% no savas vērtības CRV izmantošanas dēļ.

Līknes dibinātāja ātrā reakcija, lai atmaksātu daļu no zaudētajiem līdzekļiem, un negaidītā trešās puses līdzekļu atgriešana, kā arī ironiskā vērpšana, ka hakeris zaudē nozagtos līdzekļus, ir nedaudz mazinājusi situāciju. Tomēr incidents kalpo kā atgādinājums par iespējamām ievainojamībām viedos līgumos un plašākā nozīmē DeFi telpa.

Tas ir svarīgi projektiem ietvaros DeFi telpa, lai pastāvīgi ieguldītu drošības pasākumos, pārbaudītu savus viedos līgumus un izveidotu ārkārtas rīcības plānus iespējamiem ekspluatācijas gadījumiem. Lietotājiem arī jābūt modriem un jāņem vērā riska faktori, mijiedarbojoties ar DeFi platformas.

Curve Finance uzlauzts ir stingrs atgādinājums, ka novatoriskais un augstas atlīdzības potenciāls DeFi nozare ir saistīta arī ar ievērojamu risku. Nozarei attīstoties, ir sagaidāms, ka izstrādātāji un organizācijas ieviesīs stabilus drošības pasākumus kā standarta praksi, tādējādi izslēdzot šādu ļaunprātīgu izmantošanu nākotnē.

Lasīt vairāk:

Tags:

Atbildības noraidīšana

Atbilstīgi Uzticības projekta vadlīnijas, lūdzu, ņemiet vērā, ka šajā lapā sniegtā informācija nav paredzēta un to nedrīkst interpretēt kā juridisku, nodokļu, ieguldījumu, finanšu vai jebkāda cita veida padomu. Ir svarīgi ieguldīt tikai to, ko varat atļauties zaudēt, un meklēt neatkarīgu finanšu padomu, ja jums ir šaubas. Lai iegūtu papildinformāciju, iesakām skatīt pakalpojumu sniegšanas noteikumus, kā arī palīdzības un atbalsta lapas, ko nodrošina izdevējs vai reklāmdevējs. MetaversePost ir apņēmies sniegt precīzus, objektīvus pārskatus, taču tirgus apstākļi var tikt mainīti bez iepriekšēja brīdinājuma.

Par Autors

Niks ir izcils analītiķis un rakstnieks Metaverse Post, kas specializējas vismodernāko ieskatu sniegšanā straujajā tehnoloģiju pasaulē, īpašu uzsvaru liekot uz AI/ML, XR, VR, ķēdes analīzi un blokķēdes izstrādi. Viņa raksti iesaista un informē daudzveidīgu auditoriju, palīdzot tai būt priekšā tehnoloģiju līknei. Nikam ir maģistra grāds ekonomikā un vadībā, un viņam ir laba izpratne par biznesa pasaules niansēm un tās krustojumu ar jaunajām tehnoloģijām.

Vairāk rakstus

Niks Asti