As consequências do hack financeiro da curva
O financiamento descentralizado (DeFi) a indústria enfrentou outro revés significativo. Curve Finanças, um proeminente DeFi protocolo, foi explorado em 30 de julho, levando a perdas superiores a US$ 47 milhões. Este incidente foi consequência de uma vulnerabilidade de reentrância nas versões 0.2.15, 0.2.16 e 0.3.0 do Vyper que vários pools estáveis no Curve Finance estavam usando.
A vulnerabilidade
A principal causa da exploração foi um mau funcionamento nos bloqueios de reentrância de versões específicas do Vyper, uma linguagem de programação Python orientada a contratos que tem como alvo a Ethereum Virtual Machine (EVM). Essa linguagem de programação é a escolha preferida para desenvolvedores Python em transição para Web3 devido à sua semelhança com o Python.
A investigação inicial revela que essas versões do compilador Vyper não implementam a proteção de reentrância corretamente. Os ataques de reentrância ocorrem quando um contrato é bloqueado, impedindo que várias funções sejam executadas simultaneamente. Se não for implementado corretamente, isso pode drenar todos os fundos de um contrato. Ancilia, uma empresa de segurança, identificou 136 contratos usando Vyper 0.2.15, 98 contratos usando Vyper 0.2.16 e 226 contratos usando Vyper 0.3.0 com proteção de reentrada.
Corte de curva
Vários DeFi projetos foram afetados por esta exploração, levando a saídas significativas. Por exemplo, Elipse, uma exchange descentralizada, relatou que alguns pools estáveis com BNB foram explorados usando um antigo compilador Vyper. O alETH-ETH da Alchemix registrou uma saída de US$ 13.6 milhões. O pool pETH-ETH da JPEGd foi explorado por US$ 11.4 milhões, e o pool sETH-ETH da Metronome perdeu US$ 1.6 milhão.
Um número de stablepools (alETH/msETH/pETH) usando Vyper 0.2.15 foi explorado como resultado de um bloqueio de reentrância com defeito. Estamos avaliando a situação e atualizaremos a comunidade à medida que as coisas se desenvolverem.
- Curve Finance (@CurveFinance) 30 de julho de 2023
Outras piscinas são seguras. https://t.co/eWy2d3cDDj
Após esses ataques, Michael Yegorov, CEO da Curve Finance, confirmou que mais de 32 milhões de tokens CRV no valor de mais de US$ 22 milhões foram drenados do pool de swap. Esta confirmação veio na sequência de um pânico em todo o DeFi ecossistema, levando a inúmeras transações entre pools e uma operação de resgate por chapéus brancos.
CoinMarketCap os dados mostram que o token de utilidade Curve DAO (CRV) da Curve Finance caiu mais de 5% em reação às notícias. A liquidez do CRV diminuiu significativamente nos últimos meses, tornando-o propenso a violentas oscilações de preços.
Apesar do dano significativo, a Curve Finance garantiu que os contratos crvUSD e quaisquer pools associados a ele não foram afetados pela exploração. Após o hack, a Curve Finance confirmou o incidente e admitiu que não conseguiu proteger o pool a tempo. Uma única transação visível no Etherscan confirmou a exploração.
Contexto
Essa exploração é a mais recente de uma série de incidentes direcionados à Curve Finance. Apenas alguns dias antes, um invasor explorou a plataforma omnipool de Conic Finanças, faturando US$ 3.26 milhões em Ether (ETH). O perpetrador transferiu quase toda a quantia roubada para um novo endereço Ethereum em uma transação rápida.
No momento, estamos investigando uma exploração envolvendo o ETH Omnipool e compartilharemos as atualizações assim que estiverem disponíveis.
- Conic Finance (@ConicFinance) 21 de julho de 2023
O hack do Curve Finance faz parte de um padrão mais amplo de ataques a DeFi protocolos. De acordo com um relatório do Web3 aplicativo de portfólio, De.Fi, DeFi hacks e golpes representaram mais de $ 204 milhões em perdas apenas no segundo trimestre de 2023.
Reembolso e Devolução
Como resultado do incidente, o fundador da Curve agiu prontamente e reembolsou 4.63M USDT e depositou 16M CRV (equivalente a $ 10.12M) em Aave. Atualmente, ele tem um colateral de 293M CRV (avaliado em $ 181M) e uma dívida de 59.68M USDT na Aave, com uma taxa de saúde de 1.69.
Em uma reviravolta inesperada, um usuário criptográfico chamado coffeebabe.eth retornou 2,879 ETH (aproximadamente US$ 5.4 milhões) ao implementador do Curve. Este evento mitigou algumas das perdas causadas pelo hack.
Transação de devolução no Etherscan
Depois de #Curva foi hackeado, o fundador da #Curvefi 4.63 milhões reembolsados $ USDT e depositou 16M $ CRV (US$ 10.12 milhões) em #ave.
- Lookonchain (@lookonchain) 31 de julho de 2023
Ele atualmente tem 293M $ CRV (US$ 181 milhões) de garantia e 59.68 milhões $ USDT de dívida em #ave, com uma taxa de saúde de 1.69.https://t.co/stkFvDrlnv pic.twitter.com/tzYlt9Vmfk
The Aftermath
Os investigadores também identificaram os endereços do hacker e a quantia de dinheiro explorada em relação ao hack do Curve. O valor total explorado até agora é de cerca de US$ 52 milhões.
Endereços do Hacker:
- 0xdce5d6b41c32f578f875efffc0d422c57a75d7d8: 7,259 ETH ($13.5M), related to AlchemixFi
- 0x6ec21d1868743a44318c3c259a6d4953f9978538
A partir desses eventos, fica claro que DeFi protocolos, embora promissores, ainda têm suas vulnerabilidades. Tanto os protocolos como os utilizadores devem permanecer vigilantes e proactivos na implementação e seguimento das melhores práticas de segurança.
Eventos sem precedentes
De fato, foi um dia louco em criptografia. Enquanto muitos entusiastas de criptomoedas jogavam na Base, o hack do Curve ocorreu, deixando 32 milhões de tokens CRV nas mãos do hacker. Ainda mais chocante foi o potencial de liquidação de $ 100M CRV na Aave em $ 0.42 USD, embora o fundador tenha feito esforços para pagar a dívida.
Dia louco em criptografia.
—Ignas | DeFi Pesquisar (@DefiIgnas) 30 de julho de 2023
Enquanto os degens jogam na Base, o Curve é hackeado com tokens de 32M CRV nas mãos do hacker.
O que é pior, há uma liquidação de CRV de $ 100 milhões na Aave em $ 0.42 USD, mas o fundador está pagando a dívida.
???? pic.twitter.com/9s0JSrNYgt
Corte de curva Análise
À medida que a poeira baixa sobre o hack da Curve Finance, o impacto total no ecossistema fica claro. O ataque desferiu um duro golpe no DeFi ecossistema, impactando principalmente os tokens que sofreram consequências diretas. Por exemplo, vários tokens perderam mais de 30% de seu valor devido à exploração do CRV.
A resposta rápida do fundador do Curve para reembolsar parte dos fundos perdidos e o retorno inesperado de fundos por terceiros, juntamente com a irônica reviravolta do hacker perdendo os fundos roubados, mitigaram ligeiramente a situação. Ainda assim, o incidente serve como um lembrete das potenciais vulnerabilidades nos contratos inteligentes e no contexto mais amplo. DeFi espaço.
É importante que os projetos dentro do DeFi espaço para investir continuamente em medidas de segurança, auditar seus contratos inteligentes e criar planos de contingência para possíveis explorações. Os usuários também devem estar atentos e considerar os fatores de risco ao interagir com DeFi .
O hack do Curve Finance é um lembrete claro de que o potencial inovador e de alta recompensa do DeFi setor também vem com risco significativo. Com o amadurecimento do setor, a expectativa é que desenvolvedores e organizações adotem medidas robustas de segurança como prática padrão, evitando assim a probabilidade de tais exploits no futuro.
Leia mais:
- 16 melhores universidades para metaverso e Web3: Educação, Pesquisa
- 50 Melhor NFT Mercados para criadores: lista definitiva de 2022
- 7 topo NFT Serviços de boletim informativo para assinar agora mesmo
Aviso Legal
Em linha com a Diretrizes do Projeto Trust, observe que as informações fornecidas nesta página não se destinam e não devem ser interpretadas como aconselhamento jurídico, tributário, de investimento, financeiro ou qualquer outra forma. É importante investir apenas o que você pode perder e procurar aconselhamento financeiro independente se tiver alguma dúvida. Para mais informações, sugerimos consultar os termos e condições, bem como as páginas de ajuda e suporte fornecidas pelo emissor ou anunciante. MetaversePost está comprometida com relatórios precisos e imparciais, mas as condições de mercado estão sujeitas a alterações sem aviso prévio.
Sobre o autor
Nik é um talentoso analista e escritor da Metaverse Post, especializada em fornecer insights de ponta no mundo acelerado da tecnologia, com ênfase particular em AI/ML, XR, VR, análise on-chain e desenvolvimento de blockchain. Seus artigos envolvem e informam um público diversificado, ajudando-o a ficar à frente da curva tecnológica. Mestre em Economia e Gestão, Nik possui uma sólida compreensão das nuances do mundo dos negócios e sua intersecção com as tecnologias emergentes.
Mais artigosNik é um talentoso analista e escritor da Metaverse Post, especializada em fornecer insights de ponta no mundo acelerado da tecnologia, com ênfase particular em AI/ML, XR, VR, análise on-chain e desenvolvimento de blockchain. Seus artigos envolvem e informam um público diversificado, ajudando-o a ficar à frente da curva tecnológica. Mestre em Economia e Gestão, Nik possui uma sólida compreensão das nuances do mundo dos negócios e sua intersecção com as tecnologias emergentes.