Последствия взлома Curve Finance
Децентрализованные финансы (DeFi) промышленность столкнулась с еще одним значительным спадом. Кривая Финансывыдающийся DeFi протокол был использован 30 июля, что привело к убыткам, превышающим 47 миллионов долларов. Этот инцидент стал следствием уязвимости повторного входа в версии Vyper 0.2.15, 0.2.16 и 0.3.0, которую использовали несколько стабильных пулов на Curve Finance.
Уязвимость
Основной причиной эксплойта была неисправность в блокировках повторного входа в определенных версиях Vyper, контрактно-ориентированного языка программирования Python, нацеленного на виртуальную машину Ethereum (EVM). Этот язык программирования является предпочтительным выбором для разработчиков Python, переходящих на Web3 из-за его сходства с Python.
Первоначальное расследование показывает, что эти версии компилятора Vyper неправильно реализуют защиту от повторного входа. Атаки с повторным входом происходят, когда контракт заблокирован, что предотвращает одновременное выполнение нескольких функций. Если это не реализовано правильно, это может привести к истощению всех средств из контракта. Ancilia, охранная фирма, определила 136 контрактов, используя Vyper 0.2.15, 98 контрактов с использованием Vyper 0.2.16 и 226 контрактов с использованием Vyper 0.3.0 с защитой от повторного входа.
Кривая Взлом
Несколько DeFi этот эксплойт затронул проекты, что привело к значительному оттоку. Например, эллипсис, децентрализованная биржа, сообщила, что несколько стабильных пулов с BNB были взломаны с использованием старого компилятора Vyper. alETH-ETH компании Alchemix потерял 13.6 млн долларов. Пул pETH-ETH JPEGd был использован за 11.4 миллиона долларов, а пул sETH-ETH Metronome потерял 1.6 миллиона долларов.
Несколько стабильных пулов (alETH/msETH/pETH), использующих Vyper 0.2.15, были взломаны из-за неисправной блокировки повторного входа. Мы оцениваем ситуацию и будем информировать сообщество по мере развития событий.
- Кривая финансов (@CurveFinance) Июль 30, 2023
Другие бассейны безопасны. https://t.co/eWy2d3cDDj
После этих атак Михаил Егоров, генеральный директор Curve Finance, подтвердил, что из своп-пула было выведено более 32 миллионов токенов CRV на сумму более 22 миллионов долларов. Это подтверждение пришло на волне паники в DeFi экосистемы, что привело к многочисленным транзакциям между пулами и спасательной операции белых шляп.
CoinMarketCap данные показывают, что служебный токен Curve Finance Curve DAO (CRV) снизился более чем на 5% в ответ на новости. Ликвидность CRV значительно снизилась за последние месяцы, что сделало ее подверженной резким колебаниям цен.
Несмотря на значительный ущерб, Curve Finance заверила, что эксплойт не затронул контракты crvUSD и любые связанные с ним пулы. После взлома Curve Finance подтвердила инцидент и признала, что не смогла вовремя защитить пул. Единственная транзакция, видимая на Etherscan, подтвердила эксплойт.
Контекст
Этот эксплойт является последним в серии инцидентов, направленных против Curve Finance. Всего несколькими днями ранее злоумышленник воспользовался омнипул-платформой Коник Финанс, убегая с 3.26 миллиона долларов в эфире (ETH). Преступник перевел почти всю украденную сумму на новый адрес Ethereum одной быстрой транзакцией.
В настоящее время мы расследуем эксплойт, связанный с омнипулом ETH, и будем делиться обновлениями, как только они будут доступны.
— Коник Финанс (@ConicFinance) Июль 21, 2023
Взлом Curve Finance является частью более широкой схемы атак на DeFi протоколы. По сообщению из Web3 приложение для портфолио, De.Fi, DeFi Только во втором квартале 204 года на долю взломов и мошенничества пришлось более 2023 миллионов долларов убытков.
Погашение и возврат
В результате инцидента основатель Curve действовал быстро и вернул 4.63 млн долларов США и разместил 16 млн CRV (что эквивалентно 10.12 млн долларов США) на Aave. В настоящее время у него есть залог в размере 293 млн CRV (оценивается в 181 млн долларов) и долг в размере 59.68 млн долларов США на Aave с коэффициентом здоровья 1.69.
При неожиданном повороте событий крипто-пользователь по имени c0ffeebabe.eth вернул 2,879 ETH (примерно 5.4 млн долларов) деплойеру Curve. Это событие частично уменьшило потери, вызванные взломом.
Возврат транзакции на Etherscan
После # Кривая был взломан, основатель #Курвефи погашено 4.63 млн. $ USDT и вложил 16 млн. $ CRV (10.12 миллионов долларов) на # Ааве.
— Lookonchain (@lookonchain) Июль 31, 2023
Сейчас у него 293M $ CRV ($181 млн) залога и 59.68 млн $ USDT долга на # Ааве, с показателем здоровья 1.69.https://t.co/stkFvDrlnv pic.twitter.com/tzYlt9Vmfk
Aftermath
Следователи также установили адреса хакера и сумму средств, использованных в связи со взломом Curve. Общая сумма эксплуатируемых на данный момент составляет около 52 миллионов долларов.
Адреса хакеров:
- 0xdce5d6b41c32f578f875efffc0d422c57a75d7d8: 7,259 ETH ($13.5M), related to AlchemixFi
- 0x6ec21d1868743a44318c3c259a6d4953f9978538
Из этих событий видно, что DeFi протоколы, хотя и многообещающие, все же имеют свои уязвимости. Протоколы и пользователи должны сохранять бдительность и активно внедрять и следовать передовым методам обеспечения безопасности.
Беспрецедентные события
Это действительно был сумасшедший день в криптовалюте. В то время как многие криптоэнтузиасты играли на Base, произошел взлом Curve, в результате чего 32 миллиона токенов CRV остались в руках хакера. Еще более шокирующей была потенциальная возможность ликвидации CRV на 100 миллионов долларов на Aave по цене 0.42 доллара США, хотя основатель прилагал усилия, чтобы погасить долг.
Безумный день в крипто.
— Игнас | DeFi Исследовательская работа (@DefiИгнас) Июль 30, 2023
Пока дегены играют в азартные игры на Base, Curve взломан с 32 миллионами токенов CRV в руках хакера.
Что еще хуже, на Aave есть ликвидация CRV на 100 миллионов долларов по цене 0.42 доллара США, но основатель в настоящее время погашает долг.
???? pic.twitter.com/9s0JSrNYgt
Кривая Взлом Анализ
По мере того, как оседает пыль вокруг взлома Curve Finance, становится очевидным полное влияние на экосистему. Атака нанесла сильный удар по DeFi экосистемы, особенно влияя на токены, которые понесли прямые последствия. Например, несколько токенов потеряли более 30% своей стоимости из-за эксплойта CRV.
Быстрая реакция основателя Curve на возмещение части потерянных средств и неожиданное возвращение средств третьей стороной, а также ирония судьбы хакера, потерявшего украденные средства, немного смягчили ситуацию. Тем не менее, этот инцидент служит напоминанием о потенциальных уязвимостях в смарт-контрактах и более широком смысле. DeFi пространстве.
Это важно для проектов в рамках DeFi место, чтобы постоянно инвестировать в меры безопасности, проверять свои смарт-контракты и создавать планы на случай непредвиденных обстоятельств для возможных эксплойтов. Пользователи также должны быть бдительными и учитывать факторы риска при взаимодействии с DeFi платформ.
Взлом Curve Finance — яркое напоминание о том, что инновационный и высокодоходный потенциал DeFi сектор также связан со значительным риском. Ожидается, что с развитием сектора разработчики и организации примут надежные меры безопасности в качестве стандартной практики, тем самым исключая вероятность таких эксплойтов в будущем.
Прочитайте больше:
- 16 лучших университетов для Metaverse и Web3: Образование, Исследования
- 50 Лучший NFT Торговые площадки для авторов: окончательный список 2022 г.
- Топ-7 NFT Информационные бюллетени, на которые можно подписаться прямо сейчас
Отказ от ответственности
В соответствии с Руководство трастового проектаОбратите внимание, что информация, представленная на этой странице, не предназначена и не должна интерпретироваться как юридическая, налоговая, инвестиционная, финансовая или любая другая форма консультации. Важно инвестировать только то, что вы можете позволить себе потерять, и обращаться за независимой финансовой консультацией, если у вас есть какие-либо сомнения. Для получения дополнительной информации мы предлагаем обратиться к положениям и условиям, а также к страницам справки и поддержки, предоставленным эмитентом или рекламодателем. MetaversePost стремится предоставлять точную и объективную отчетность, однако рыночные условия могут быть изменены без предварительного уведомления.
Об авторе
Ник — опытный аналитик и писатель в Metaverse Post, специализирующаяся на предоставлении передовых знаний о быстро меняющемся мире технологий с особым акцентом на AI / ML, XR, VR, аналитику в цепочке и разработку блокчейна. Его статьи вовлекают и информируют разнообразную аудиторию, помогая ей опережать технологические достижения. Обладая степенью магистра экономики и менеджмента, Ник хорошо разбирается в нюансах делового мира и его взаимосвязи с новыми технологиями.
Другие статьиНик — опытный аналитик и писатель в Metaverse Post, специализирующаяся на предоставлении передовых знаний о быстро меняющемся мире технологий с особым акцентом на AI / ML, XR, VR, аналитику в цепочке и разработку блокчейна. Его статьи вовлекают и информируют разнообразную аудиторию, помогая ей опережать технологические достижения. Обладая степенью магистра экономики и менеджмента, Ник хорошо разбирается в нюансах делового мира и его взаимосвязи с новыми технологиями.