Akibat Hack Kewangan Curve
Kewangan terdesentralisasi (DeFi) industri telah menghadapi satu lagi kemunduran yang ketara. Kewangan Keluk, yang terkemuka DeFi protokol, telah dieksploitasi pada 30 Julai, membawa kepada kerugian melebihi $47 juta. Insiden ini adalah akibat daripada kerentanan kemasukan semula dalam versi Vyper 0.2.15, 0.2.16 dan 0.3.0 yang digunakan oleh beberapa kumpulan stabil pada Curve Finance.
Kerentanan
Punca utama eksploitasi ialah kerosakan pada kunci kemasukan semula versi tertentu Vyper, bahasa pengaturcaraan pythonic berorientasikan kontrak yang menyasarkan Mesin Maya Ethereum (EVM). Bahasa pengaturcaraan ini adalah pilihan pilihan untuk pembangun Python yang beralih ke Web3 kerana persamaannya dengan Python.
Siasatan awal mendedahkan bahawa versi pengkompil Vyper ini tidak melaksanakan pengawal kemasukan semula dengan betul. Serangan kemasukan semula berlaku apabila kontrak dikunci, menghalang pelbagai fungsi daripada dilaksanakan secara serentak. Jika tidak dilaksanakan dengan betul, ini berpotensi menguras semua dana daripada kontrak. Ancilia, sebuah firma keselamatan, telah mengenal pasti 136 kontrak menggunakan Vyper 0.2.15, 98 kontrak menggunakan Vyper 0.2.16 dan 226 kontrak menggunakan Vyper 0.3.0 dengan perlindungan kemasukan semula.
Curve Hack
Beberapa DeFi projek telah terjejas oleh eksploitasi ini, yang membawa kepada aliran keluar yang ketara. Sebagai contoh, elipsis, pertukaran terdesentralisasi, melaporkan bahawa beberapa kumpulan stabil dengan BNB telah dieksploitasi menggunakan pengkompil Vyper lama. AlETH-ETH Alchemix menyaksikan aliran keluar $13.6 juta. Kumpulan pETH-ETH JPEGd telah dieksploitasi untuk $11.4 juta, dan kumpulan sETH-ETH Metronome kehilangan $1.6 juta.
Sebilangan kumpulan kandang (alETH/msETH/pETH) menggunakan Vyper 0.2.15 telah dieksploitasi akibat daripada kunci kemasukan semula yang tidak berfungsi. Kami sedang menilai keadaan dan akan mengemas kini komuniti apabila keadaan berkembang.
- Curve Finance (@CurveFinance) Julai 30, 2023
Kolam lain selamat. https://t.co/eWy2d3cDDj
Berikutan serangan ini, Mikhail Egorov, Ketua Pegawai Eksekutif Curve Finance, mengesahkan bahawa lebih 32 juta token CRV bernilai lebih daripada $22 juta telah disalirkan daripada kumpulan swap. Pengesahan ini dibuat berikutan panik di seluruh DeFi ekosistem, yang membawa kepada banyak transaksi merentasi kolam dan operasi menyelamat oleh topi putih.
CoinMarketCap data menunjukkan bahawa token utiliti Curve Finance Curve DAO (CRV) merosot lebih 5% sebagai tindak balas kepada berita tersebut. Kecairan CRV telah menurun dengan ketara dalam beberapa bulan kebelakangan ini, menjadikannya terdedah kepada perubahan harga yang ganas.
Walaupun mengalami kerosakan yang ketara, Curve Finance memberi jaminan bahawa kontrak crvUSD dan sebarang kumpulan yang berkaitan dengannya tidak terjejas oleh eksploitasi tersebut. Selepas penggodaman itu, Curve Finance mengesahkan kejadian itu dan mengakui bahawa mereka tidak dapat memastikan kolam itu tepat pada masanya. Satu transaksi yang boleh dilihat pada Etherscan mengesahkan eksploitasi itu.
Konteks
Eksploitasi ini datang sebagai yang terbaru dalam siri insiden yang menyasarkan Curve Finance. Hanya beberapa hari sebelum itu, penyerang mengeksploitasi platform omnipool Kewangan Kon, menghasilkan $3.26 juta dalam Ether (ETH). Pelaku memindahkan hampir keseluruhan jumlah wang yang dicuri ke alamat Ethereum baharu dalam satu transaksi pantas.
Kami sedang menyiasat eksploitasi yang melibatkan Omnipool ETH dan akan berkongsi kemas kini sebaik sahaja ia tersedia.
— Conic Finance (@ConicFinance) Julai 21, 2023
Hack Curve Finance adalah sebahagian daripada corak serangan yang lebih luas DeFi protokol. Menurut laporan daripada Web3 aplikasi portfolio, De.Fi, DeFi penggodaman dan penipuan menyumbang lebih daripada $204 juta kerugian hanya dalam suku kedua 2023.
Bayaran Balik & Pemulangan
Akibat insiden itu, pengasas Curve bertindak segera dan membayar balik 4.63M USDT dan mendepositkan 16M CRV (bersamaan dengan $10.12M) pada Aave. Pada masa ini, beliau mempunyai cagaran sebanyak 293M CRV (bernilai $181M) dan hutang sebanyak 59.68M USDT pada Aave, dengan kadar kesihatan 1.69.
Dalam kejadian yang tidak dijangka, pengguna crypto menamakan c0ffeebabe.eth mengembalikan 2,879 ETH (kira-kira $5.4m) kepada penyebar Curve. Peristiwa ini telah mengurangkan beberapa kerugian yang disebabkan oleh penggodaman.
Pulangan Transaksi pada Etherscan
selepas #Keluk telah digodam, pengasas #curvefi dibayar balik 4.63M $ USDT dan didepositkan 16M $ CRV ($10.12J) pada #ave.
— Lookonchain (@lookonchain) Julai 31, 2023
Beliau kini mempunyai 293M $ CRV ($181M) cagaran dan 59.68M $ USDT hutang pada #ave, dengan kadar kesihatan 1.69.https://t.co/stkFvDrlnv pic.twitter.com/tzYlt9Vmfk
Selepas The
Penyiasat juga mengenal pasti alamat penggodam dan jumlah dana yang dieksploitasi berhubung dengan penggodaman Curve. Jumlah keseluruhan yang dieksploitasi setakat ini adalah sekitar $52 juta.
Alamat penggodam:
- 0xdce5d6b41c32f578f875efffc0d422c57a75d7d8: 7,259 ETH ($13.5M), related to AlchemixFi
- 0x6ec21d1868743a44318c3c259a6d4953f9978538
Daripada peristiwa ini, jelas bahawa DeFi protokol, walaupun menjanjikan, masih mempunyai kelemahan mereka. Protokol dan pengguna harus sentiasa berwaspada dan proaktif dalam melaksanakan dan mengikuti amalan keselamatan terbaik.
Peristiwa yang belum pernah terjadi sebelumnya
Ia sememangnya hari yang gila dalam crypto. Walaupun ramai peminat kripto berjudi di Base, penggodaman Curve berlaku, meninggalkan token CRV 32M di tangan penggodam. Lebih mengejutkan ialah potensi pembubaran CRV $100M pada Aave pada $0.42 USD, walaupun pengasas telah berusaha untuk membayar balik hutang tersebut.
Hari gila dalam crypto.
— Ignas | DeFi Penyelidikan (@DefiIgnas) Julai 30, 2023
Semasa degen berjudi di Base, Curve digodam dengan token CRV 32M di tangan penggodam.
Lebih teruk lagi, terdapat pembubaran CRV $100M pada Aave pada $0.42 USD, tetapi pengasas sedang membayar balik hutang itu.
🤞 pic.twitter.com/9s0JSrNYgt
Curve Hack Analisis
Apabila habuk mendap pada penggodaman Curve Finance, impak penuh terhadap ekosistem semakin jelas. Serangan itu memberi tamparan hebat kepada DeFi ekosistem, terutamanya memberi kesan kepada token yang mengalami akibat langsung. Sebagai contoh, beberapa token kehilangan lebih 30% daripada nilainya disebabkan oleh eksploitasi CRV.
Sambutan pantas oleh pengasas Curve untuk membayar balik sebahagian daripada dana yang hilang dan pulangan dana yang tidak dijangka oleh pihak ketiga, bersama-sama dengan sentuhan ironis penggodam kehilangan dana yang dicuri, telah mengurangkan sedikit keadaan. Namun, insiden itu berfungsi sebagai peringatan tentang potensi kelemahan dalam kontrak pintar dan lebih luas DeFi ruang.
Ia penting untuk projek dalam DeFi ruang untuk terus melabur dalam langkah keselamatan, mengaudit kontrak pintar mereka, dan mencipta pelan kontingensi untuk kemungkinan eksploitasi. Pengguna juga mesti berwaspada dan mempertimbangkan faktor risiko apabila berinteraksi dengannya DeFi platform.
Hack Curve Finance adalah peringatan yang jelas bahawa potensi inovatif dan ganjaran tinggi bagi DeFi sektor juga datang dengan risiko yang ketara. Dengan kematangan sektor ini, jangkaan adalah bahawa pemaju dan organisasi akan menerima pakai langkah keselamatan yang teguh sebagai amalan standard, dengan itu menghalang kemungkinan eksploitasi sedemikian pada masa hadapan.
Baca lebih lanjut:
- 16 Universiti Terbaik untuk Metaverse dan Web3: Pendidikan, Penyelidikan
- 50 Best NFT Marketplaces for Creators: Senarai Terbaik 2022
- Top 7 NFT Perkhidmatan Surat Berita untuk Dilanggan Sekarang
Penafian
Selaras dengan Garis panduan Projek Amanah, sila ambil perhatian bahawa maklumat yang diberikan pada halaman ini tidak bertujuan untuk menjadi dan tidak seharusnya ditafsirkan sebagai nasihat undang-undang, cukai, pelaburan, kewangan atau sebarang bentuk nasihat lain. Adalah penting untuk hanya melabur apa yang anda mampu kehilangan dan mendapatkan nasihat kewangan bebas jika anda mempunyai sebarang keraguan. Untuk maklumat lanjut, kami mencadangkan merujuk kepada terma dan syarat serta halaman bantuan dan sokongan yang disediakan oleh pengeluar atau pengiklan. MetaversePost komited kepada laporan yang tepat dan tidak berat sebelah, tetapi keadaan pasaran tertakluk kepada perubahan tanpa notis.
Tentang Pengarang
Nik ialah seorang penganalisis dan penulis yang mahir di Metaverse Post, yang mengkhusus dalam menyampaikan cerapan termaju ke dalam dunia teknologi yang pantas, dengan penekanan khusus pada AI/ML, XR, VR, analitik dalam rantaian dan pembangunan rantaian blok. Artikelnya melibatkan dan memaklumkan khalayak yang pelbagai, membantu mereka kekal di hadapan keluk teknologi. Memiliki ijazah Sarjana dalam Ekonomi dan Pengurusan, Nik mempunyai pemahaman yang kukuh tentang nuansa dunia perniagaan dan persimpangannya dengan teknologi yang muncul.
lebih banyak artikelNik ialah seorang penganalisis dan penulis yang mahir di Metaverse Post, yang mengkhusus dalam menyampaikan cerapan termaju ke dalam dunia teknologi yang pantas, dengan penekanan khusus pada AI/ML, XR, VR, analitik dalam rantaian dan pembangunan rantaian blok. Artikelnya melibatkan dan memaklumkan khalayak yang pelbagai, membantu mereka kekal di hadapan keluk teknologi. Memiliki ijazah Sarjana dalam Ekonomi dan Pengurusan, Nik mempunyai pemahaman yang kukuh tentang nuansa dunia perniagaan dan persimpangannya dengan teknologi yang muncul.