Efterdyningarna av Curve Finance Hack
Den decentraliserade finansieringen (DeFi) industri har mött ytterligare ett betydande bakslag. Curve Finance, en framstående DeFi protokollet, utnyttjades den 30 juli, vilket ledde till förluster som översteg 47 miljoner dollar. Denna incident var en följd av en sårbarhet för återinträde i Vyper-versionerna 0.2.15, 0.2.16 och 0.3.0 som flera stabila pooler på Curve Finance använde.
Sårbarheten
Den primära orsaken till utnyttjandet var ett fel i återinträdeslåsen för specifika versioner av Vyper, ett kontraktsorienterat, pytoniskt programmeringsspråk som riktar sig till Ethereum Virtual Machine (EVM). Detta programmeringsspråk är ett föredraget val för Python-utvecklare som går över till Web3 på grund av dess likhet med Python.
Den första undersökningen avslöjar att dessa Vyper-kompilatorversioner inte implementerar återinträdesskyddet korrekt. Återinträdesattacker inträffar när ett kontrakt är låst, vilket förhindrar att flera funktioner exekveras samtidigt. Om det inte implementeras korrekt kan detta potentiellt dra ut alla medel från ett kontrakt. Ancilia, ett säkerhetsföretag, har identifierat 136 kontrakt som använder Vyper 0.2.15, 98 kontrakt med Vyper 0.2.16 och 226 kontrakt med Vyper 0.3.0 med återinträdesskydd.
Curve Hack
Flera DeFi projekt påverkades av denna exploatering, vilket ledde till betydande utflöden. Till exempel, Ellips, en decentraliserad börs, rapporterade att några stabila pooler med BNB utnyttjades med en gammal Vyper-kompilator. Alchemix's alETH-ETH såg ett utflöde på 13.6 miljoner dollar. JPEGds pETH-ETH-pool utnyttjades för 11.4 miljoner dollar, och Metronomes sETH-ETH-pool förlorade 1.6 miljoner dollar.
Ett antal stablepools (alETH/msETH/pETH) som använder Vyper 0.2.15 har utnyttjats som ett resultat av ett felaktigt återinträdeslås. Vi utvärderar situationen och kommer att uppdatera samhället när saker och ting utvecklas.
- Curve Finance (@CurveFinance) Juli 30, 2023
Andra pooler är säkra. https://t.co/eWy2d3cDDj
Efter dessa attacker, Mikhail Egorov, VD för Curve Finance, bekräftade att över 32 miljoner CRV-tokens värda mer än $22 miljoner hade dränerats från swappoolen. Denna bekräftelse kom i kölvattnet av en panik över DeFi ekosystem, vilket leder till många transaktioner över pooler och en räddningsoperation med vita hattar.
CoinMarketCap data visar att Curve Finances verktygstoken Curve DAO (CRV) sjönk med över 5% som reaktion på nyheten. Likviditeten i CRV har minskat avsevärt under de senaste månaderna, vilket gör den utsatt för våldsamma prissvängningar.
Trots den betydande skadan försäkrade Curve Finance att crvUSD-kontrakt och eventuella pooler associerade med det inte påverkades av exploateringen. I efterdyningarna av hacket bekräftade Curve Finance händelsen och erkände att de inte kunde säkra poolen i tid. En enda transaktion synlig på Etherscan bekräftade utnyttjandet.
Sammanhang
Denna exploatering kommer som den senaste i en serie incidenter som riktar sig till Curve Finance. Bara några dagar tidigare utnyttjade en angripare omnipool-plattformen Conic Finance, och tjänade 3.26 miljoner dollar i Ether (ETH). Gärningsmannen överförde nästan hela det stulna beloppet till en ny Ethereum-adress i en snabb transaktion.
Vi undersöker för närvarande ett utnyttjande som involverar ETH Omnipool och kommer att dela uppdateringar så snart de är tillgängliga.
— Conic Finance (@ConicFinance) Juli 21, 2023
Curve Finance-hacket är en del av ett bredare mönster av attacker mot DeFi protokoll. Enligt en rapport från Web3 portfolio app, De.Fi, DeFi hackar och bedrägerier stod för över 204 miljoner dollar i förluster bara under andra kvartalet 2023.
Återbetalning & retur
Som ett resultat av incidenten agerade Curve-grundaren snabbt och återbetalade 4.63 miljoner USDT och satte in 16 miljoner CRV (motsvarande 10.12 miljoner USD) på Aave. För närvarande har han en säkerhet på 293 miljoner CRV (värderad till 181 miljoner dollar) och en skuld på 59.68 miljoner USDT på Aave, med en hälsoränta på 1.69.
I en oväntad händelseutveckling hette en kryptoanvändare c0ffeebabe.eth returnerade 2,879 5.4 ETH (cirka XNUMX miljoner USD) till Curve-utvecklaren. Denna händelse har mildrat en del av förlusten orsakad av hacket.
Efter #Kurva hackades, grundaren av #kurvefi återbetalade 4.63 miljoner $ USDT och deponerade 16 miljoner $ CRV (10.12 miljoner USD) på #ave.
— Lookonchain (@lookonchain) Juli 31, 2023
Han har för närvarande 293 miljoner $ CRV (181 miljoner USD) i säkerhet och 59.68 miljoner $ USDT av skuld på #ave, med en hälsofrekvens på 1.69.https://t.co/stkFvDrlnv pic.twitter.com/tzYlt9Vmfk
The Aftermath
Utredarna identifierade också hackarens adresser och mängden pengar som utnyttjats i samband med Curve-hacket. Det totala beloppet som hittills utnyttjats är cirka 52 miljoner dollar.
Hackarens adresser:
- 0xdce5d6b41c32f578f875efffc0d422c57a75d7d8: 7,259 ETH ($13.5M), related to AlchemixFi
- 0x6ec21d1868743a44318c3c259a6d4953f9978538
Från dessa händelser är det tydligt att DeFi protokoll, även om de är lovande, har fortfarande sina sårbarheter. Både protokoll och användare bör vara vaksamma och proaktiva när det gäller att implementera och följa bästa säkerhetspraxis.
Oöverträffade händelser
Det har verkligen varit en galen dag i krypto. Medan många kryptoentusiaster spelade på Base inträffade Curve-hacket och lämnade 32 miljoner CRV-tokens i händerna på hackaren. Ännu mer chockerande var potentialen för en $100 miljoner CRV-likvidation på Aave för $0.42 USD, även om grundaren har ansträngt sig för att återbetala skulden.
Galen dag i krypto.
— Ignas | DeFi Forskning (@DefiIgnas) Juli 30, 2023
Medan degens spelar på Base, blir Curve hackad med 32M CRV-tokens i händerna på hackaren.
Vad värre är, det finns en $100M CRV-likvidation på Aave på $0.42 USD, men grundaren återbetalar för närvarande skulden.
🤞 pic.twitter.com/9s0JSrNYgt
Curve Hack Analys
När dammet lägger sig på Curve Finance-hacket blir den fulla påverkan på ekosystemet tydlig. Attacken slog ett hårt slag mot DeFi ekosystem, särskilt som påverkar tokens som fick direkta konsekvenser. Till exempel förlorade flera tokens över 30 % av sitt värde på grund av CRV-exploateringen.
Det snabba svaret från Curve-grundaren för att återbetala några av de förlorade medlen och den oväntade återbetalningen av medel från en tredje part, tillsammans med den ironiska twisten att hackaren förlorade de stulna medlen, har mildrat situationen något. Ändå fungerar incidenten som en påminnelse om de potentiella sårbarheterna inom smarta kontrakt och desto bredare DeFi utrymme.
Det är viktigt för projekt inom DeFi utrymme för att kontinuerligt investera i säkerhetsåtgärder, granska sina smarta kontrakt och skapa beredskapsplaner för möjliga utnyttjande. Användare måste också vara vaksamma och beakta riskfaktorerna när de interagerar med DeFi plattformar.
Curve Finance-hacket är en skarp påminnelse om att den innovativa och högbelönade potentialen hos DeFi sektorn kommer också med betydande risk. Med branschens mognad är förväntningarna att utvecklare och organisationer kommer att anta robusta säkerhetsåtgärder som standardpraxis, och därigenom utesluta sannolikheten för sådana utnyttjande i framtiden.
Läs mer:
- 16 bästa universiteten för Metaverse och Web3: Utbildning, forskning
- 50 Bäst NFT Marketplaces for Creators: Ultimate List 2022
- Top 7 NFT Nyhetsbrevstjänster att prenumerera på just nu
Villkor
I linje med den Riktlinjer för Trust Project, vänligen notera att informationen på den här sidan inte är avsedd att vara och inte ska tolkas som juridisk, skattemässig, investerings-, finansiell eller någon annan form av rådgivning. Det är viktigt att bara investera det du har råd att förlora och att söka oberoende finansiell rådgivning om du har några tvivel. För ytterligare information föreslår vi att du hänvisar till villkoren samt hjälp- och supportsidorna som tillhandahålls av utfärdaren eller annonsören. MetaversePost är engagerad i korrekt, opartisk rapportering, men marknadsförhållandena kan ändras utan föregående meddelande.
Om författaren
Nik är en skicklig analytiker och författare på Metaverse Post, specialiserat på att leverera banbrytande insikter i den snabba teknikvärlden, med särskild tonvikt på AI/ML, XR, VR, on-chain analytics och blockchain-utveckling. Hans artiklar engagerar och informerar en mångfaldig publik och hjälper dem att ligga före den tekniska kurvan. Med en magisterexamen i ekonomi och management har Nik ett gediget grepp om nyanserna i affärsvärlden och dess korsning med framväxande teknologier.
fler artiklar
Nik är en skicklig analytiker och författare på Metaverse Post, specialiserat på att leverera banbrytande insikter i den snabba teknikvärlden, med särskild tonvikt på AI/ML, XR, VR, on-chain analytics och blockchain-utveckling. Hans artiklar engagerar och informerar en mångfaldig publik och hjälper dem att ligga före den tekniska kurvan. Med en magisterexamen i ekonomi och management har Nik ett gediget grepp om nyanserna i affärsvärlden och dess korsning med framväxande teknologier.
