Consecința hack-ului Curve Finance
Finanțarea descentralizată (DeFi) industria s-a confruntat cu un alt regres semnificativ. Curba Finante, un proeminent DeFi protocol, a fost exploatat pe 30 iulie, ducând la pierderi de peste 47 de milioane de dolari. Acest incident a fost o consecință a unei vulnerabilități de reintrare în versiunile Vyper 0.2.15, 0.2.16 și 0.3.0 pe care le foloseau mai multe pool-uri stabile de pe Curve Finance.
Vulnerabilitatea
Cauza principală a exploit-ului a fost o defecțiune a blocărilor de reintrare ale versiunilor specifice de Vyper, un limbaj de programare pythonic, orientat spre contract, care vizează Ethereum Virtual Machine (EVM). Acest limbaj de programare este o alegere preferată pentru dezvoltatorii Python în tranziție Web3 datorită asemănării sale cu Python.
Investigația inițială dezvăluie că aceste versiuni de compilator Vyper nu implementează corect garda de reintrare. Atacurile de reintrare apar atunci când un contract este blocat, împiedicând executarea simultană a mai multor funcții. Dacă nu este implementat corect, acest lucru poate epuiza toate fondurile dintr-un contract. Ancilia, o firmă de securitate, a identificat 136 de contracte de utilizare vyper 0.2.15, 98 de contracte care utilizează Vyper 0.2.16 și 226 de contracte care utilizează Vyper 0.3.0 cu protecție la reintrare.
Curve Hack
Câteva DeFi proiectele au fost afectate de această exploatare, ceea ce a dus la ieșiri semnificative. De exemplu, Elipsă, un schimb descentralizat, a raportat că câteva pool-uri stabile cu BNB au fost exploatate folosind un compilator Vyper vechi. AlETH-ETH de la Alchemix a înregistrat o ieșire de 13.6 milioane de dolari. Pool-ul pETH-ETH al JPEGd a fost exploatat pentru 11.4 milioane USD, iar pool-ul sETH-ETH al Metronome a pierdut 1.6 milioane USD.
Un număr de stablepools (alETH/msETH/pETH) care utilizează Vyper 0.2.15 au fost exploatate ca urmare a unei defecțiuni a blocării de reintrare. Evaluăm situația și vom actualiza comunitatea pe măsură ce lucrurile se dezvoltă.
- Curve Finance (@CurveFinance) Iulie 30, 2023
Alte piscine sunt sigure. https://t.co/eWy2d3cDDj
În urma acestor atacuri, Mihail Egorov, CEO-ul Curve Finance, a confirmat că peste 32 de milioane de jetoane CRV în valoare de peste 22 de milioane de dolari au fost evacuate din pool-ul de swap. Această confirmare a venit în urma unei panică de peste tot DeFi ecosistem, ducând la numeroase tranzacții între piscine și o operațiune de salvare prin pălării albe.
CoinMarketCap datele arată că tokenul de utilitate Curve Finance Curve DAO (CRV) a scăzut cu peste 5% ca reacție la știri. Lichiditatea CRV a scăzut semnificativ în ultimele luni, făcându-l predispus la fluctuații violente de preț.
În ciuda pagubelor semnificative, Curve Finance a asigurat că contractele crvUSD și orice pool-uri asociate cu acesta nu au fost afectate de exploit. În urma atacului, Curve Finance a confirmat incidentul și a recunoscut că nu au putut asigura piscina la timp. O singură tranzacție vizibilă pe Etherscan a confirmat exploitul.
Context
Acest exploit vine ca cel mai recent dintr-o serie de incidente care vizează Curve Finance. Cu doar câteva zile mai devreme, un atacator a exploatat platforma omnipool a Conic Finance, câștigând 3.26 milioane USD în Ether (ETH). Făptuitorul a transferat aproape întreaga sumă furată la o nouă adresă Ethereum într-o singură tranzacție rapidă.
În prezent, investigăm un exploit care implică ETH Omnipool și vom distribui actualizări de îndată ce acestea vor fi disponibile.
— Conic Finance (@ConicFinance) Iulie 21, 2023
Hackul Curve Finance face parte dintr-un model mai larg de atacuri asupra DeFi protocoale. Potrivit unui raport de la Web3 aplicație de portofoliu, De.Fi, DeFi hackurile și înșelătoriile au reprezentat pierderi de peste 204 de milioane de dolari doar în al doilea trimestru al anului 2023.
Rambursare și returnare
Ca urmare a incidentului, fondatorul Curve a acționat prompt și a rambursat 4.63 milioane USDT și a depus 16 milioane CRV (echivalentul a 10.12 milioane USD) pe Aave. În prezent, el are o garanție de 293 milioane CRV (evaluată la 181 milioane USD) și o datorie de 59.68 milioane USDT pe Aave, cu o rată de sănătate de 1.69.
Într-o întorsătură neașteptată a evenimentelor, un utilizator cripto a numit c0ffeebabe.eth a returnat 2,879 ETH (aproximativ 5.4 milioane USD) operatorului Curve. Acest eveniment a atenuat o parte din pierderile cauzate de hack.
Tranzacție de returnare pe Etherscan
După #Curba a fost spart, fondatorul #curvefi a rambursat 4.63 milioane $ USDT și a depus 16 M $ CRV (10.12 milioane USD) pe #ave.
— Lookonchain (@lookonchain) Iulie 31, 2023
În prezent are 293M $ CRV (181 milioane USD) garanții și 59.68 milioane $ USDT de datorie pe #ave, cu o rată de sănătate de 1.69.https://t.co/stkFvDrlnv pic.twitter.com/tzYlt9Vmfk
Următoarea
Anchetatorii au identificat, de asemenea, adresele hackerului și suma de fonduri exploatate în legătură cu hack-ul Curve. Suma totală exploatată până acum este de aproximativ 52 de milioane de dolari.
Adresele hackerilor:
- 0xdce5d6b41c32f578f875efffc0d422c57a75d7d8: 7,259 ETH ($13.5M), related to AlchemixFi
- 0x6ec21d1868743a44318c3c259a6d4953f9978538
Din aceste evenimente, este clar că DeFi protocoalele, deși promițătoare, au încă vulnerabilitățile lor. Protocoalele și utilizatorii ar trebui să rămână vigilenți și proactivi în implementarea și respectarea celor mai bune practici de securitate.
Evenimente fără precedent
A fost într-adevăr o zi nebună în cripto. În timp ce mulți pasionați de criptografie jucau pe Base, a avut loc hack-ul Curve, lăsând 32 de milioane de jetoane CRV în mâinile hackerului. Și mai șocant a fost potențialul unei lichidări a CRV de 100 milioane USD pe Aave la 0.42 USD, deși fondatorul a făcut eforturi pentru a rambursa datoria.
Zi nebună în cripto.
— Ignas | DeFi Cercetare (@DefiIgnas) Iulie 30, 2023
În timp ce degens pariază pe Base, Curve este piratat cu 32 de milioane de jetoane CRV în mâinile hackerului.
Mai rău, există o lichidare a CRV de 100 milioane USD pe Aave la 0.42 USD, dar fondatorul plătește în prezent datoria.
🤞 pic.twitter.com/9s0JSrNYgt
Curve Hack Analiză
Pe măsură ce praful se așează pe hack-ul Curve Finance, impactul total asupra ecosistemului devine clar. Atacul a dat o lovitură puternică asupra DeFi ecosistem, impactând în special jetoanele care au suferit consecințe directe. De exemplu, mai multe jetoane și-au pierdut peste 30% din valoarea lor din cauza exploit-ului CRV.
Răspunsul rapid al fondatorului Curve de a rambursa o parte din fondurile pierdute și returnarea neașteptată a fondurilor de către o terță parte, împreună cu întorsătura ironică a hackerului care pierde fondurile furate, au atenuat ușor situația. Cu toate acestea, incidentul servește ca un memento al potențialelor vulnerabilități din contractele inteligente și mai larg DeFi spațiu.
Este important pentru proiectele din cadrul DeFi spațiu pentru a investi în mod continuu în măsuri de securitate, pentru a-și audita contractele inteligente și pentru a crea planuri de urgență pentru posibile exploatări. De asemenea, utilizatorii trebuie să fie vigilenți și să ia în considerare factorii de risc atunci când interacționează cu DeFi platforme.
Hackul Curve Finance este un memento clar că potențialul inovator și de mare recompensă al DeFi sectorul prezintă, de asemenea, riscuri semnificative. Odată cu maturizarea sectorului, se așteaptă ca dezvoltatorii și organizațiile să adopte măsuri de securitate robuste ca practică standard, excluzând astfel probabilitatea unor astfel de exploatări în viitor.
Citeşte mai mult:
- 16 cele mai bune universități pentru Metaverse și Web3: Educație, Cercetare
- 50 Cel mai bun NFT Piețe pentru creatori: Lista finală 2022
- Top 7 NFT Servicii de buletin informativ pentru a vă abona chiar acum
Declinare a responsabilităţii
În conformitate cu Ghidurile proiectului Trust, vă rugăm să rețineți că informațiile furnizate pe această pagină nu sunt destinate și nu trebuie interpretate ca fiind consiliere juridică, fiscală, investițională, financiară sau orice altă formă de consiliere. Este important să investești doar ceea ce îți poți permite să pierzi și să cauți sfaturi financiare independente dacă ai îndoieli. Pentru informații suplimentare, vă sugerăm să consultați termenii și condițiile, precum și paginile de ajutor și asistență furnizate de emitent sau agent de publicitate. MetaversePost se angajează să raporteze corecte, imparțial, dar condițiile de piață pot fi modificate fără notificare.
Despre autor
Nik este un analist și scriitor desăvârșit la Metaverse Post, specializată în furnizarea de informații de ultimă oră în lumea rapidă a tehnologiei, cu un accent deosebit pe AI/ML, XR, VR, analize în lanț și dezvoltare blockchain. Articolele sale atrag și informează un public divers, ajutându-l să rămână în fruntea curbei tehnologice. Deținând o diplomă de master în economie și management, Nik are o înțelegere solidă a nuanțelor lumii afacerilor și a intersecției acesteia cu tehnologiile emergente.
Mai multe articoleNik este un analist și scriitor desăvârșit la Metaverse Post, specializată în furnizarea de informații de ultimă oră în lumea rapidă a tehnologiei, cu un accent deosebit pe AI/ML, XR, VR, analize în lanț și dezvoltare blockchain. Articolele sale atrag și informează un public divers, ajutându-l să rămână în fruntea curbei tehnologice. Deținând o diplomă de master în economie și management, Nik are o înțelegere solidă a nuanțelor lumii afacerilor și a intersecției acesteia cu tehnologiile emergente.