กรกฎาคม 31, 2023

ผลที่ตามมาของการแฮ็กทางการเงินของ Curve

เผยแพร่: 31 กรกฎาคม 2023 เวลา 2:14 น. อัปเดต: 31 กรกฎาคม 2023 เวลา 2:37 น.

แก้ไขและตรวจสอบข้อเท็จจริง: 31 กรกฎาคม 2023 เวลา 2:14 น

การเงินกระจายอำนาจ (DeFi) อุตสาหกรรมต้องเผชิญกับความล้มเหลวที่สำคัญอีกครั้งหนึ่ง การเงิน Curveที่โดดเด่น DeFi โปรโตคอลถูกนำไปใช้ประโยชน์เมื่อวันที่ 30 กรกฎาคม นำไปสู่การสูญเสียมากกว่า 47 ล้านดอลลาร์ เหตุการณ์นี้เป็นผลมาจากช่องโหว่ใน Vyper เวอร์ชัน 0.2.15, 0.2.16 และ 0.3.0 ที่กลุ่มเสถียรหลายแห่งใน Curve Finance ใช้งานอยู่

ช่องโหว่

สาเหตุหลักของการโจมตีครั้งนี้คือการทำงานผิดปกติในการล็อคการกลับเข้าซ้ำของ Vyper เวอร์ชันเฉพาะ ซึ่งเป็นภาษาการเขียนโปรแกรมแบบ pythonic ที่เน้นสัญญาซึ่งกำหนดเป้าหมายไปที่ Ethereum Virtual Machine (EVM) ภาษาการเขียนโปรแกรมนี้เป็นตัวเลือกที่ต้องการสำหรับนักพัฒนา Python ที่กำลังจะเปลี่ยนไปใช้ Web3 เนื่องจากมีความคล้ายคลึงกับ Python

การตรวจสอบเบื้องต้นพบว่าเวอร์ชันคอมไพเลอร์ของ Vyper เหล่านี้ไม่ได้ใช้ Reentrancy Guard อย่างถูกต้อง การโจมตี Reentrancy เกิดขึ้นเมื่อสัญญาถูกล็อก ทำให้ไม่สามารถดำเนินการหลายฟังก์ชันพร้อมกันได้ หากใช้งานไม่ถูกต้อง อาจทำให้เงินทุนหมดจากสัญญาได้ Ancilia บริษัทรักษาความปลอดภัยได้ระบุสัญญา 136 ฉบับโดยใช้ Vyper 0.2.15, 98 สัญญาที่ใช้ Vyper 0.2.16 และ 226 สัญญาที่ใช้ Vyper 0.3.0 พร้อมการป้องกันการกลับเข้ามาใหม่

แฮ็คเส้นโค้ง

หลาย DeFi โครงการได้รับผลกระทบจากการหาประโยชน์นี้ ซึ่งนำไปสู่การไหลออกที่สำคัญ ตัวอย่างเช่น จุดไข่ปลาการแลกเปลี่ยนแบบกระจายศูนย์ รายงานว่าพูลที่มีความเสถียรสองสามตัวที่มี BNB ถูกใช้ประโยชน์โดยใช้คอมไพเลอร์ Vyper ตัวเก่า alETH-ETH ของ Alchemix ไหลออก 13.6 ล้านดอลลาร์ พูล pETH-ETH ของ JPEGd ถูกใช้ประโยชน์เป็นเงิน 11.4 ล้านดอลลาร์ และกลุ่ม sETH-ETH ของ Metronome สูญเสียไป 1.6 ล้านดอลลาร์

Stablepools จำนวนหนึ่ง (alETH/msETH/pETH) ที่ใช้ Vyper 0.2.15 ถูกใช้ประโยชน์อันเป็นผลมาจากการล็อคการเข้าใหม่ที่ทำงานผิดพลาด เรากำลังประเมินสถานการณ์และจะอัปเดตชุมชนเมื่อสิ่งต่างๆ พัฒนาขึ้น

สระอื่นปลอดภัย https://t.co/eWy2d3cDDj
- Curve Finance (@CurveFinance) กรกฎาคม 30, 2023

หลังจากการโจมตีเหล่านี้ ไมเคิล อีโกรอฟซีอีโอของ Curve Finance ยืนยันว่าโทเค็น CRV มากกว่า 32 ล้านโทเค็น ซึ่งมีมูลค่ามากกว่า 22 ล้านดอลลาร์ ได้ระบายออกจาก Swap Pool แล้ว การยืนยันนี้เกิดขึ้นจากความตื่นตระหนกไปทั่ว DeFi ระบบนิเวศที่นำไปสู่การทำธุรกรรมจำนวนมากข้ามสระน้ำและการปฏิบัติการช่วยเหลือโดยหมวกขาว

CoinMarketCap ข้อมูลแสดงให้เห็นว่าโทเค็นยูทิลิตี้ของ Curve Finance Curve DAO (CRV) ลดลงมากกว่า 5% ตามข่าว สภาพคล่องของ CRV ลดลงอย่างมากในช่วงหลายเดือนที่ผ่านมา ทำให้มีแนวโน้มที่จะเกิดการแกว่งตัวของราคาอย่างรุนแรง

แม้จะได้รับความเสียหายอย่างมีนัยสำคัญ แต่ Curve Finance ก็มั่นใจได้ว่าสัญญา crvUSD และกลุ่มใดๆ ที่เกี่ยวข้องจะไม่ได้รับผลกระทบจากการเจาะระบบ ผลที่ตามมาของการแฮ็ก Curve Finance ได้ยืนยันเหตุการณ์ดังกล่าวและยอมรับว่าพวกเขาไม่สามารถรักษาความปลอดภัยของพูลได้ทันเวลา ธุรกรรมเดียวที่มองเห็นได้บน Etherscan ยืนยันการใช้ประโยชน์

ธุรกรรมบน Etherscan

บริบท

การใช้ประโยชน์นี้ถือเป็นเหตุการณ์ล่าสุดที่มีเป้าหมายที่ Curve Finance เมื่อไม่กี่วันก่อนหน้านี้ ผู้โจมตีใช้ประโยชน์จากแพลตฟอร์ม omnipool ของ การเงินแบบกรวยทำกำไรได้ $3.26 ล้านใน Ether (ETH) ผู้กระทำความผิดได้โอนจำนวนเงินเกือบทั้งหมดที่ถูกขโมยไปยังที่อยู่ Ethereum ใหม่ด้วยธุรกรรมที่รวดเร็วเพียงครั้งเดียว

ขณะนี้เรากำลังตรวจสอบช่องโหว่ที่เกี่ยวข้องกับ ETH Omnipool และจะแบ่งปันการอัปเดตทันทีที่พร้อมใช้งาน
— การเงินของ Conic (@ConicFinance) กรกฎาคม 21, 2023

การแฮ็ก Curve Finance เป็นส่วนหนึ่งของรูปแบบการโจมตีที่กว้างขึ้น DeFi โปรโตคอล ตามรายงานจาก. Web3 แอพพอร์ตโฟลิโอ, De.Fi, DeFi การแฮ็กและการหลอกลวงทำให้เกิดความเสียหายมากกว่า 204 ล้านดอลลาร์ในไตรมาสที่สองของปี 2023

การชำระคืนและการคืนสินค้า

จากเหตุการณ์ดังกล่าว ผู้ก่อตั้ง Curve ได้ดำเนินการทันทีและชำระคืน 4.63 ล้าน USDT และฝาก 16 ล้าน CRV (เทียบเท่ากับ 10.12 ล้านดอลลาร์) ใน Aave. ปัจจุบัน เขามีหลักประกัน 293 ล้าน CRV (มูลค่า 181 ล้านดอลลาร์) และหนี้ 59.68 ล้าน USDT บน Aave โดยมีอัตราสุขภาพ 1.69

โพรไฟล์ผู้ใช้ Aave

ในเหตุการณ์ที่ไม่คาดคิด ผู้ใช้ crypto ชื่อ c0ffeebabe.eth คืน 2,879 ETH (ประมาณ 5.4 ล้านดอลลาร์) ไปยังตัวปรับใช้ Curve เหตุการณ์นี้ได้บรรเทาความสูญเสียบางส่วนที่เกิดจากการแฮ็ค

ธุรกรรมการส่งคืนบน Etherscan

หลังจาก #เคิร์ฟ ถูกแฮกผู้ก่อตั้ง #เคิร์ฟฟี่ ชำระคืน4.63M $ USDT และฝาก16M CRV $ ($10.12M) #อาฟ.

ปัจจุบันเขามี 293M CRV $ ($181M) หลักประกัน และ 59.68M $ USDT ของหนี้เมื่อ #อาฟโดยมีอัตราสุขภาพ 1.69https://t.co/stkFvDrlnv pic.twitter.com/tzYlt9Vmfk
— Lookonchain (@lookonchain) กรกฎาคม 31, 2023

ควันหลง

ผู้ตรวจสอบยังระบุที่อยู่ของแฮ็กเกอร์และจำนวนเงินที่ใช้ไปกับการแฮ็ก Curve จำนวนเงินทั้งหมดที่ถูกใช้ประโยชน์จนถึงขณะนี้อยู่ที่ประมาณ 52 ล้านดอลลาร์

ที่อยู่ของแฮ็กเกอร์:

0xdce5d6b41c32f578f875efffc0d422c57a75d7d8: 7,259 ETH ($13.5M), related to AlchemixFi
0x6ec21d1868743a44318c3c259a6d4953f9978538

จากเหตุการณ์เหล่านี้ก็ชัดเจนว่า DeFi แม้ว่าโปรโตคอลจะมีแนวโน้มดี แต่ก็ยังมีช่องโหว่อยู่ โปรโตคอลและผู้ใช้ควรระมัดระวังและกระตือรือร้นในการนำไปใช้และปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุด

เหตุการณ์ที่ไม่เคยมีมาก่อน

มันเป็นวันที่บ้าคลั่งใน crypto ในขณะที่ผู้ที่ชื่นชอบคริปโตหลายคนกำลังเล่นการพนันบน Base การแฮ็กของ Curve ก็เกิดขึ้น ทำให้โทเค็น CRV 32 ล้านรายการอยู่ในมือของแฮ็กเกอร์ สิ่งที่น่าตกใจยิ่งกว่าคือศักยภาพในการชำระบัญชี CRV มูลค่า 100 ล้านเหรียญสหรัฐบน Aave ที่ 0.42 เหรียญสหรัฐ แม้ว่าผู้ก่อตั้งจะพยายามชำระหนี้แล้วก็ตาม

วันที่บ้าใน crypto

ในขณะที่ degens กำลังเล่นการพนันบน Base Curve ถูกแฮ็กด้วยโทเค็น CRV 32 ล้านรายการในมือของแฮ็กเกอร์

ที่แย่กว่านั้น มีการชำระบัญชี CRV มูลค่า 100 ล้านเหรียญสหรัฐบน Aave ที่ 0.42 เหรียญสหรัฐ แต่ผู้ก่อตั้งกำลังชำระหนี้อยู่

🤞 pic.twitter.com/9s0JSrNYgt
— อิกนัส | DeFi วิจัย (@Defiอิกนาส) กรกฎาคม 30, 2023

แฮ็คเส้นโค้ง การวิเคราะห์

เมื่อฝุ่นตกลงบนแฮ็ก Curve Finance ผลกระทบทั้งหมดต่อระบบนิเวศก็เริ่มชัดเจน การโจมตีได้กระทบกระเทือนอย่างรุนแรงต่อ DeFi ระบบนิเวศ โดยเฉพาะอย่างยิ่งส่งผลกระทบต่อโทเค็นที่ได้รับผลกระทบโดยตรง ตัวอย่างเช่น โทเค็นหลายตัวสูญเสียมูลค่ามากกว่า 30% เนื่องจากการใช้ประโยชน์จาก CRV

การตอบสนองอย่างรวดเร็วของผู้ก่อตั้ง Curve ในการชดใช้เงินที่สูญเสียไปบางส่วน และการคืนเงินโดยไม่คาดคิดโดยบุคคลที่สาม รวมถึงการพลิกผันที่น่าขันของแฮ็กเกอร์ที่สูญเสียเงินที่ถูกขโมยไป ช่วยบรรเทาสถานการณ์ลงได้เล็กน้อย อย่างไรก็ตาม เหตุการณ์ดังกล่าวทำหน้าที่เป็นเครื่องเตือนใจถึงช่องโหว่ที่อาจเกิดขึ้นภายในสัญญาอัจฉริยะและในวงกว้าง DeFi ช่องว่าง

เป็นสิ่งสำคัญสำหรับโครงการภายใน DeFi พื้นที่ในการลงทุนอย่างต่อเนื่องในมาตรการรักษาความปลอดภัย ตรวจสอบสัญญาอัจฉริยะ และสร้างแผนฉุกเฉินสำหรับการหาประโยชน์ที่เป็นไปได้ ผู้ใช้ยังต้องระมัดระวังและพิจารณาปัจจัยเสี่ยงเมื่อโต้ตอบด้วย DeFi แพลตฟอร์ม

การแฮ็ก Curve Finance เป็นการเตือนใจอย่างชัดเจนถึงศักยภาพด้านนวัตกรรมและผลตอบแทนสูงของ DeFi ภาคอุตสาหกรรมยังมาพร้อมกับความเสี่ยงที่สำคัญ เมื่อภาคส่วนเติบโตเต็มที่ ความคาดหวังก็คือนักพัฒนาและองค์กรต่างๆ จะนำมาตรการรักษาความปลอดภัยที่แข็งแกร่งมาใช้เป็นแนวปฏิบัติมาตรฐาน ดังนั้นจึงป้องกันโอกาสที่จะเกิดช่องโหว่ดังกล่าวในอนาคต

อ่านเพิ่มเติม:

คีย์เวิร์ด:

ข้อจำกัดความรับผิดชอบ

สอดคล้องกับ แนวทางโครงการที่เชื่อถือได้โปรดทราบว่าข้อมูลที่ให้ไว้ในหน้านี้ไม่ได้มีจุดมุ่งหมายและไม่ควรตีความว่าเป็นคำแนะนำทางกฎหมาย ภาษี การลงทุน การเงิน หรือรูปแบบอื่นใด สิ่งสำคัญคือต้องลงทุนเฉพาะในสิ่งที่คุณสามารถที่จะสูญเสียได้ และขอคำแนะนำทางการเงินที่เป็นอิสระหากคุณมีข้อสงสัยใดๆ สำหรับข้อมูลเพิ่มเติม เราขอแนะนำให้อ้างอิงข้อกำหนดและเงื่อนไขตลอดจนหน้าช่วยเหลือและสนับสนุนที่ผู้ออกหรือผู้ลงโฆษณาให้ไว้ MetaversePost มุ่งมั่นที่จะรายงานที่ถูกต้องและเป็นกลาง แต่สภาวะตลาดอาจมีการเปลี่ยนแปลงได้โดยไม่ต้องแจ้งให้ทราบล่วงหน้า

เกี่ยวกับผู้เขียน

Nik เป็นนักวิเคราะห์และนักเขียนที่ประสบความสำเร็จที่ Metaverse Postซึ่งเชี่ยวชาญในการให้ข้อมูลเชิงลึกที่ทันสมัยในโลกของเทคโนโลยีที่เปลี่ยนแปลงอย่างรวดเร็ว โดยเน้นเป็นพิเศษเกี่ยวกับ AI/ML, XR, VR, การวิเคราะห์บนเชน และการพัฒนาบล็อกเชน บทความของเขามีส่วนร่วมและให้ข้อมูลแก่ผู้ชมที่หลากหลาย ช่วยให้พวกเขานำหน้าเส้นโค้งของเทคโนโลยี Nik สำเร็จการศึกษาระดับปริญญาโทด้านเศรษฐศาสตร์และการจัดการ มีความเข้าใจอย่างถ่องแท้เกี่ยวกับความแตกต่างของโลกธุรกิจและการผสมผสานระหว่างเทคโนโลยีที่เกิดขึ้นใหม่

บทความอื่น ๆ

นิก อัสติ