Julij 31, 2023

Posledice heka Curve Finance

Objavljeno: 31. julij 2023 ob 2:14 Posodobljeno: 31. julij 2023 ob 2:37

Urejeno in preverjeno: 31. julij 2023 ob 2

Decentralizirane finance (DeFi) se je industrija soočila s še enim precejšnjim nazadovanjem. Krivulje financ, ugleden DeFi protokola, je bil izkoriščen 30. julija, kar je povzročilo izgube, ki presegajo 47 milijonov dolarjev. Ta incident je bil posledica ranljivosti ponovnega vstopa v različicah Vyper 0.2.15, 0.2.16 in 0.3.0, ki jih je uporabljalo več stabilnih skupin na Curve Finance.

Ranljivost

Primarni vzrok za izkoriščanje je bila okvara v zaklepanju ponovnega vstopa določenih različic Vyperja, pogodbeno usmerjenega, pitonskega programskega jezika, ki cilja na virtualni stroj Ethereum (EVM). Ta programski jezik je prednostna izbira za razvijalce Pythona, ki prehajajo nanj Web3 zaradi podobnosti s Pythonom.

Začetna preiskava razkrije, da te različice prevajalnika Vyper ne izvajajo pravilno zaščite pred ponovnim vstopom. Napadi ponovnega vstopa se pojavijo, ko je pogodba zaklenjena, kar preprečuje hkratno izvajanje več funkcij. Če se ne izvaja pravilno, lahko to potencialno črpa vsa sredstva iz pogodbe. Ancilia, varnostno podjetje, je identificiralo 136 pogodb z uporabo Vyper 0.2.15, 98 pogodb z uporabo Vyper 0.2.16 in 226 pogodb z uporabo Vyper 0.3.0 z zaščito pred ponovnim vstopom.

Curve Hack

Več DeFi projekti so bili prizadeti zaradi tega izkoriščanja, kar je povzročilo znatne odlive. Na primer, pike, decentralizirana borza, je poročala, da je bilo nekaj stabilnih bazenov z BNB izkoriščenih s starim prevajalnikom Vyper. Alchemixov alETH-ETH je zabeležil odliv v višini 13.6 milijona dolarjev. Skupina pETH-ETH JPEGd je bila izkoriščena za 11.4 milijona dolarjev, zbirka sETH-ETH družbe Metronome pa je izgubila 1.6 milijona dolarjev.

Številna stabilna združenja (alETH/msETH/pETH), ki uporabljajo Vyper 0.2.15, so bila izkoriščena zaradi nedelujoče zapore ponovnega vstopa. Ocenjujemo situacijo in bomo obveščali skupnost, ko se bodo stvari razvijale.

Drugi bazeni so varni. https://t.co/eWy2d3cDDj
- Curve Finance (@CurveFinance) Julij 30, 2023

Po teh napadih, Mihail Egorov, izvršni direktor Curve Finance, je potrdil, da je bilo več kot 32 milijonov žetonov CRV v vrednosti več kot 22 milijonov dolarjev izčrpanih iz zamenjave. Ta potrditev je prišla po paniki po vsem svetu DeFi ekosistema, kar je privedlo do številnih transakcij prek bazenov in reševalne operacije belih klobukov.

CoinMarketCap podatki kažejo, da je uporabni žeton Curve DAO (CRV) družbe Curve Finance kot odziv na novico upadel za več kot 5 %. Likvidnost CRV se je v zadnjih mesecih znatno zmanjšala, zaradi česar je nagnjen k silovitim nihanjem cen.

Kljub znatni škodi je Curve Finance zagotovil, da izkoriščanje ni prizadelo pogodb crvUSD in morebitnih bazenov, povezanih z njim. Po vdoru je Curve Finance potrdil incident in priznal, da bazena niso mogli zavarovati pravočasno. Ena sama transakcija, vidna na Etherscan, je potrdila izkoriščanje.

Transakcija na Etherscan

Ozadje

To izkoriščanje je zadnje v nizu incidentov, ki ciljajo na Curve Finance. Le nekaj dni prej je napadalec izkoristil platformo omnipool družbe Conic Finance, pri čemer je uspel s 3.26 milijona dolarjev v etru (ETH). Skoraj celotno ukradeno vsoto je storilec v eni hitri transakciji nakazal na nov naslov Ethereum.

Trenutno preiskujemo izkoriščanje, ki vključuje ETH Omnipool, in bomo delili posodobitve, takoj ko bodo na voljo.
— Conic Finance (@ConicFinance) Julij 21, 2023

Vdor v Curve Finance je del širšega vzorca napadov na DeFi protokoli. Glede na poročilo iz Web3 portfeljska aplikacija, De.Fi, DeFi vdori in prevare so samo v drugem četrtletju leta 204 povzročili več kot 2023 milijone dolarjev izgube.

Odplačilo in vračilo

Zaradi incidenta je ustanovitelj Curve nemudoma ukrepal in odplačal 4.63 milijona USDT ter položil 16 milijonov CRV (kar ustreza 10.12 milijona USD) na Aave. Trenutno ima zavarovanje v višini 293 milijonov CRV (vrednoteno na 181 milijonov dolarjev) in dolg v višini 59.68 milijona USDT na Aave, s stopnjo zdravja 1.69.

Aave profil

V nepričakovanem razpletu dogodkov je imenovan uporabnik kriptovalute c0ffeebabe.eth vrnil 2,879 ETH (približno 5.4 milijona USD) uvajalcu Curve. Ta dogodek je ublažil nekaj izgube, ki jo je povzročil vdor.

Povratna transakcija na Etherscan

po #Krivulja je bilo vdrto, ustanovitelj #krivuljafi poplačanih 4.63M $ USDT in položil 16 milijona $ CRV (10.12 milijonov $) naprej #Ave.

Trenutno ima 293M $ CRV (181 mio $) zavarovanja in 59.68 mio $ USDT dolga naprej #Ave, s stopnjo zdravja 1.69.https://t.co/stkFvDrlnv pic.twitter.com/tzYlt9Vmfk
— Lookonchain (@lookonchain) Julij 31, 2023

Aftermath

Preiskovalci so identificirali tudi naslove hekerjev in količino sredstev, ki so bila izkoriščena v zvezi z vdorom Curve. Skupni znesek, izkoriščen do zdaj, je okoli 52 milijonov dolarjev.

Naslovi hekerjev:

0xdce5d6b41c32f578f875efffc0d422c57a75d7d8: 7,259 ETH ($13.5M), related to AlchemixFi
0x6ec21d1868743a44318c3c259a6d4953f9978538

Iz teh dogodkov je razvidno, da DeFi Čeprav so protokoli obetavni, imajo še vedno svoje ranljivosti. Protokoli in uporabniki bi morali ostati pozorni in proaktivni pri izvajanju in upoštevanju najboljših varnostnih praks.

Dogodki brez primere

To je bil res nor dan v kripto. Medtem ko je veliko kripto navdušencev igralo igre na srečo na Base, je prišlo do vdora Curve, ki je v rokah hekerja pustil 32 milijonov žetonov CRV. Še bolj šokantna je bila možnost likvidacije CRV v vrednosti 100 milijonov USD na Aave pri 0.42 USD, čeprav si je ustanovitelj prizadeval poplačati dolg.

Nor dan v kripto.

Medtem ko degeni igrajo igre na srečo na Base, vdrejo v Curve z 32 milijoni žetonov CRV v rokah hekerja.

Kar je še huje, obstaja 100 milijonov USD likvidacije CRV na Aave pri 0.42 USD, vendar ustanovitelj trenutno odplačuje dolg.

🤞 pic.twitter.com/9s0JSrNYgt
— Ignas | DeFi Raziskovanje (@DefiIgnas) Julij 30, 2023

Curve Hack Analiza

Ko se prah nad vdorom Curve Finance polege, postaja jasen celoten vpliv na ekosistem. Napad je zadal hud udarec DeFi ekosistema, kar je zlasti vplivalo na žetone, ki so utrpeli neposredne posledice. Na primer, več žetonov je izgubilo več kot 30 % svoje vrednosti zaradi izkoriščanja CRV.

Hiter odziv ustanovitelja Curve, da povrne nekaj izgubljenih sredstev in nepričakovano vračilo sredstev s strani tretje osebe, skupaj z ironičnim preobratom hekerja, ki izgubi ukradena sredstva, sta nekoliko omilila situacijo. Kljub temu incident služi kot opomin na morebitne ranljivosti v pametnih pogodbah in širše DeFi prostora.

Pomemben je za projekte v okviru DeFi prostor za nenehno vlaganje v varnostne ukrepe, revizijo svojih pametnih pogodb in ustvarjanje načrtov za morebitne izkoriščanja v nepredvidljivih dogodkih. Uporabniki morajo biti tudi pozorni in upoštevati dejavnike tveganja pri interakciji z DeFi platforme.

Vdor Curve Finance je jasen opomnik, da je inovativen in visokonagrajujoč potencial DeFi sektor prinaša tudi veliko tveganje. Z dozorevanjem sektorja se pričakuje, da bodo razvijalci in organizacije sprejeli robustne varnostne ukrepe kot standardno prakso, s čimer bodo preprečili verjetnost takšnih zlorab v prihodnosti.

Preberite več:

Tags:

Zavrnitev odgovornosti

V skladu z Smernice projekta Trust, upoštevajte, da informacije na tej strani niso namenjene in se jih ne sme razlagati kot pravni, davčni, naložbeni, finančni ali kakršen koli drug nasvet. Pomembno je, da vlagate samo tisto, kar si lahko privoščite izgubiti, in da poiščete neodvisen finančni nasvet, če imate kakršne koli dvome. Za dodatne informacije predlagamo, da si ogledate določila in pogoje ter strani s pomočjo in podporo, ki jih nudi izdajatelj ali oglaševalec. MetaversePost se zavzema za natančno in nepristransko poročanje, vendar se tržni pogoji lahko spremenijo brez predhodnega obvestila.

O avtorju

Nik je uspešen analitik in pisec pri Metaverse Post, specializirano za zagotavljanje najsodobnejših vpogledov v hiter svet tehnologije, s posebnim poudarkom na AI/ML, XR, VR, verižni analitiki in razvoju blokovnih verig. Njegovi članki privabljajo in obveščajo raznoliko občinstvo ter jim pomagajo ostati pred tehnološko krivuljo. Po izobrazbi magisterij iz ekonomije in menedžmenta Nik dobro razume nianse poslovnega sveta in njegovega presečišča z nastajajočimi tehnologijami.

več člankov

Nik Asti