The Aftermath of the Curve Finance Hack
Decentralizované financovanie (DeFi) priemysel čelil ďalšej významnej prekážke. Krivka financií, prominentné DeFi protokolu, bol zneužitý 30. júla, čo viedlo k stratám presahujúcim 47 miliónov dolárov. Tento incident bol dôsledkom reentrancy zraniteľnosti vo verziách Vyper 0.2.15, 0.2.16 a 0.3.0, ktoré používalo niekoľko stabilných fondov na Curve Finance.
Zraniteľnosť
Primárnou príčinou zneužitia bola porucha v reentrancy zámkoch špecifických verzií Vyper, zmluvne orientovaného pythonic programovacieho jazyka, ktorý sa zameriava na virtuálny stroj Ethereum (EVM). Tento programovací jazyk je preferovanou voľbou pre vývojárov Pythonu, ktorí doň prechádzajú Web3 kvôli jeho podobnosti s Pythonom.
Počiatočné vyšetrovanie ukazuje, že tieto verzie kompilátora Vyper neimplementujú ochranu proti opätovnému vstupu správne. Útoky opätovného vstupu sa vyskytujú, keď je zmluva uzamknutá, čím sa bráni súčasnému vykonávaniu viacerých funkcií. Ak sa neimplementuje správne, môže to potenciálne odčerpať všetky finančné prostriedky zo zmluvy. Bezpečnostná firma Ancilia identifikovala 136 zmlúv Vyper 0.2.15, 98 zmlúv s použitím Vyper 0.2.16 a 226 zmlúv s použitím Vyper 0.3.0 s ochranou proti opätovnému vstupu.
Curve Hack
Niekoľko DeFi projekty boli ovplyvnené týmto využívaním, čo viedlo k značnému odlevu. napr. elipsa, decentralizovaná burza, oznámila, že niekoľko stabilných fondov s BNB bolo zneužitých pomocou starého kompilátora Vyper. AlETH-ETH od Alchemixu zaznamenal odliv 13.6 milióna dolárov. Fond pETH-ETH JPEGd bol využitý za 11.4 milióna dolárov a fond sSETH-ETH od Metronome stratil 1.6 milióna dolárov.
Množstvo stablepoolov (alETH/msETH/pETH) používajúcich Vyper 0.2.15 bolo zneužitých v dôsledku nefunkčného reentrancy zámku. Situáciu posudzujeme a podľa vývoja budeme komunitu aktualizovať.
- Curve Finance (@CurveFinance) Júla 30, 2023
Ostatné bazény sú bezpečné. https://t.co/eWy2d3cDDj
Po týchto útokoch Michal Egorov, generálny riaditeľ Curve Finance, potvrdil, že zo swapového fondu bolo vyčerpaných viac ako 32 miliónov tokenov CRV v hodnote viac ako 22 miliónov dolárov. Toto potvrdenie prišlo v dôsledku paniky DeFi ekosystému, čo vedie k početným transakciám naprieč bazénmi a záchrannej operácii bielych klobúkov.
CoinMarketCap údaje ukazujú, že token Curve Finance Curve DAO (CRV) klesol v reakcii na správy o viac ako 5 %. Likvidita CRV sa v posledných mesiacoch výrazne znížila, takže je náchylná na prudké cenové výkyvy.
Napriek značnému poškodeniu Curve Finance uistila, že kontrakty crvUSD a akékoľvek fondy s tým spojené neboli zneužitím ovplyvnené. Po hacke Curve Finance potvrdili incident a priznali, že nedokázali zabezpečiť bazén včas. Jedna transakcia viditeľná na Etherscan potvrdila zneužitie.
Kontext
Tento exploit prichádza ako posledný zo série incidentov zameraných na Curve Finance. Len pred niekoľkými dňami útočník zneužil platformu omnipool Conic Finance, zarábať s 3.26 milióna dolárov v Ether (ETH). Páchateľ previedol takmer celú ukradnutú sumu na novú Ethereum adresu v jednej rýchlej transakcii.
Momentálne skúmame zneužitie zahŕňajúce ETH Omnipool a budeme zdieľať aktualizácie hneď, ako budú k dispozícii.
— Conic Finance (@ConicFinance) Júla 21, 2023
Hack Curve Finance je súčasťou širšieho vzoru útokov na DeFi protokoly. Podľa správy z Web3 portfóliová aplikácia, De.Fi, DeFi hacky a podvody predstavovali straty viac ako 204 miliónov dolárov len v druhom štvrťroku 2023.
Splácanie a vrátenie
V dôsledku incidentu zakladateľ Curve konal promptne a splatil 4.63 milióna USDT a uložil 16 miliónov CRV (ekvivalent 10.12 milióna USD) na AAVE. V súčasnosti má kolaterál vo výške 293 miliónov CRV (v hodnote 181 miliónov USD) a dlh vo výške 59.68 miliónov USDT na Aave so sadzbou zdravia 1.69.
V neočakávanom zvrate udalostí, krypto užívateľ s názvom c0ffeebabe.eth vrátilo 2,879 5.4 ETH (približne XNUMX milióna USD) nasadzovačovi Curve. Táto udalosť zmiernila niektoré straty spôsobené hackom.
Návratová transakcia na Etherscan
Po #Krivka bol hacknutý, zakladateľ #curvefi splatené 4.63 mil $ USDT a vložil 16 mil $ CRV (10.12 miliónov USD). #ave.
— Lookonchain (@lookonchain) Júla 31, 2023
V súčasnosti má 293 mil $ CRV (181 miliónov USD) kolaterálu a 59.68 milióna $ USDT dlhu na #ave, so zdravotným stavom 1.69.https://t.co/stkFvDrlnv pic.twitter.com/tzYlt9Vmfk
Aftermath
Vyšetrovatelia tiež identifikovali hackerove adresy a množstvo finančných prostriedkov zneužitých v súvislosti s hackom Curve. Celková doteraz využitá suma je okolo 52 miliónov dolárov.
Hackerove adresy:
- 0xdce5d6b41c32f578f875efffc0d422c57a75d7d8: 7,259 ETH ($13.5M), related to AlchemixFi
- 0x6ec21d1868743a44318c3c259a6d4953f9978538
Z týchto udalostí je zrejmé, že DeFi protokoly, hoci sú sľubné, stále majú svoje slabé miesta. Protokoly aj používatelia by mali zostať ostražití a proaktívni pri implementácii a dodržiavaní najlepších bezpečnostných postupov.
Bezprecedentné udalosti
V oblasti kryptomien to bol skutočne bláznivý deň. Zatiaľ čo veľa krypto nadšencov hralo na Base, došlo k hacku Curve, ktorý zanechal 32 miliónov CRV tokenov v rukách hackera. Ešte šokujúcejšia bola možnosť likvidácie CRV v hodnote 100 miliónov USD na Aave za 0.42 USD, hoci zakladateľ vynaložil úsilie na splatenie dlhu.
Šialený deň v kryptomenách.
— Ignas | DeFi Výskum (@DefiIgnas) Júla 30, 2023
Zatiaľ čo degens hrá na Base, Curve je hacknutý s 32 M CRV tokenmi v rukách hackera.
A čo je horšie, na Aave je likvidácia CRV v hodnote 100 miliónov dolárov za 0.42 USD, ale zakladateľ momentálne spláca dlh.
🤞 pic.twitter.com/9s0JSrNYgt
Curve Hack Analýza
Keď na hack Curve Finance sadá prach, plný dopad na ekosystém je čoraz jasnejší. Útok zasiahol ťažkú ranu DeFi ekosystému, najmä s dopadom na tokeny, ktoré utrpeli priame následky. Napríklad niekoľko tokenov stratilo viac ako 30% svojej hodnoty kvôli zneužitiu CRV.
Rýchla reakcia zakladateľa Curve splatiť časť stratených prostriedkov a neočakávané vrátenie prostriedkov treťou stranou spolu s ironickým zvratom, že hacker prišiel o ukradnuté prostriedky, situáciu mierne zmiernili. Napriek tomu tento incident slúži ako pripomienka potenciálnych zraniteľností v rámci inteligentných zmlúv a širšie DeFi priestor.
Je to dôležité pre projekty v rámci DeFi priestor na neustále investovanie do bezpečnostných opatrení, audit svojich inteligentných zmlúv a vytváranie pohotovostných plánov pre možné zneužitia. Používatelia musia byť tiež ostražití a pri interakcii s nimi musia zvážiť rizikové faktory DeFi plošiny.
Hack Curve Finance je jasnou pripomienkou toho, že inovatívny potenciál s vysokou odmenou DeFi so značným rizikom. S vyspelým sektorom sa očakáva, že vývojári a organizácie prijmú robustné bezpečnostné opatrenia ako štandardnú prax, čím sa vylúči pravdepodobnosť takéhoto zneužitia v budúcnosti.
Prečítajte si viac:
- 16 najlepších univerzít pre Metaverse a Web3: Vzdelávanie, výskum
- 50 Najlepšie NFT Trhoviská pre tvorcov: Ultimate List 2022
- Top 7 NFT Newsletter služby na odber práve teraz
Vylúčenie zodpovednosti
V súlade s Pokyny k projektu Trust, uvedomte si, že informácie uvedené na tejto stránke nie sú zamýšľané a nemali by byť interpretované ako právne, daňové, investičné, finančné alebo iné formy poradenstva. Je dôležité investovať len toľko, koľko si môžete dovoliť stratiť a v prípade akýchkoľvek pochybností vyhľadať nezávislé finančné poradenstvo. Ak chcete získať ďalšie informácie, odporúčame vám pozrieť si zmluvné podmienky, ako aj stránky pomoci a podpory poskytnuté vydavateľom alebo inzerentom. MetaversePost sa zaviazala poskytovať presné a nezaujaté správy, ale podmienky na trhu sa môžu zmeniť bez upozornenia.
O autorovi
Nik je uznávaný analytik a spisovateľ v Metaverse Post, ktorá sa špecializuje na poskytovanie špičkových náhľadov do rýchlo sa rozvíjajúceho sveta technológií s osobitným dôrazom na AI/ML, XR, VR, on-chain analytiku a vývoj blockchainu. Jeho články zapájajú a informujú rôznorodé publikum a pomáhajú mu udržať si náskok pred technologickou krivkou. Nik, ktorý má magisterský titul v odbore ekonómia a manažment, dobre rozumie nuansám obchodného sveta a jeho prieniku s novými technológiami.
Ďalšie článkyNik je uznávaný analytik a spisovateľ v Metaverse Post, ktorá sa špecializuje na poskytovanie špičkových náhľadov do rýchlo sa rozvíjajúceho sveta technológií s osobitným dôrazom na AI/ML, XR, VR, on-chain analytiku a vývoj blockchainu. Jeho články zapájajú a informujú rôznorodé publikum a pomáhajú mu udržať si náskok pred technologickou krivkou. Nik, ktorý má magisterský titul v odbore ekonómia a manažment, dobre rozumie nuansám obchodného sveta a jeho prieniku s novými technológiami.