ผลที่ตามมาของการแฮ็กทางการเงินของ Curve
การเงินกระจายอำนาจ (DeFi) อุตสาหกรรมต้องเผชิญกับความล้มเหลวที่สำคัญอีกครั้งหนึ่ง การเงิน Curveที่โดดเด่น DeFi โปรโตคอลถูกนำไปใช้ประโยชน์เมื่อวันที่ 30 กรกฎาคม นำไปสู่การสูญเสียมากกว่า 47 ล้านดอลลาร์ เหตุการณ์นี้เป็นผลมาจากช่องโหว่ใน Vyper เวอร์ชัน 0.2.15, 0.2.16 และ 0.3.0 ที่กลุ่มเสถียรหลายแห่งใน Curve Finance ใช้งานอยู่
ช่องโหว่
สาเหตุหลักของการโจมตีครั้งนี้คือการทำงานผิดปกติในการล็อคการกลับเข้าซ้ำของ Vyper เวอร์ชันเฉพาะ ซึ่งเป็นภาษาการเขียนโปรแกรมแบบ pythonic ที่เน้นสัญญาซึ่งกำหนดเป้าหมายไปที่ Ethereum Virtual Machine (EVM) ภาษาการเขียนโปรแกรมนี้เป็นตัวเลือกที่ต้องการสำหรับนักพัฒนา Python ที่กำลังจะเปลี่ยนไปใช้ Web3 เนื่องจากมีความคล้ายคลึงกับ Python
การตรวจสอบเบื้องต้นพบว่าเวอร์ชันคอมไพเลอร์ของ Vyper เหล่านี้ไม่ได้ใช้ Reentrancy Guard อย่างถูกต้อง การโจมตี Reentrancy เกิดขึ้นเมื่อสัญญาถูกล็อก ทำให้ไม่สามารถดำเนินการหลายฟังก์ชันพร้อมกันได้ หากใช้งานไม่ถูกต้อง อาจทำให้เงินทุนหมดจากสัญญาได้ Ancilia บริษัทรักษาความปลอดภัยได้ระบุสัญญา 136 ฉบับโดยใช้ Vyper 0.2.15, 98 สัญญาที่ใช้ Vyper 0.2.16 และ 226 สัญญาที่ใช้ Vyper 0.3.0 พร้อมการป้องกันการกลับเข้ามาใหม่
แฮ็คเส้นโค้ง
หลาย DeFi โครงการได้รับผลกระทบจากการหาประโยชน์นี้ ซึ่งนำไปสู่การไหลออกที่สำคัญ ตัวอย่างเช่น จุดไข่ปลาการแลกเปลี่ยนแบบกระจายศูนย์ รายงานว่าพูลที่มีความเสถียรสองสามตัวที่มี BNB ถูกใช้ประโยชน์โดยใช้คอมไพเลอร์ Vyper ตัวเก่า alETH-ETH ของ Alchemix ไหลออก 13.6 ล้านดอลลาร์ พูล pETH-ETH ของ JPEGd ถูกใช้ประโยชน์เป็นเงิน 11.4 ล้านดอลลาร์ และกลุ่ม sETH-ETH ของ Metronome สูญเสียไป 1.6 ล้านดอลลาร์
Stablepools จำนวนหนึ่ง (alETH/msETH/pETH) ที่ใช้ Vyper 0.2.15 ถูกใช้ประโยชน์อันเป็นผลมาจากการล็อคการเข้าใหม่ที่ทำงานผิดพลาด เรากำลังประเมินสถานการณ์และจะอัปเดตชุมชนเมื่อสิ่งต่างๆ พัฒนาขึ้น
- Curve Finance (@CurveFinance) กรกฎาคม 30, 2023
สระอื่นปลอดภัย https://t.co/eWy2d3cDDj
หลังจากการโจมตีเหล่านี้ ไมเคิล อีโกรอฟซีอีโอของ Curve Finance ยืนยันว่าโทเค็น CRV มากกว่า 32 ล้านโทเค็น ซึ่งมีมูลค่ามากกว่า 22 ล้านดอลลาร์ ได้ระบายออกจาก Swap Pool แล้ว การยืนยันนี้เกิดขึ้นจากความตื่นตระหนกไปทั่ว DeFi ระบบนิเวศที่นำไปสู่การทำธุรกรรมจำนวนมากข้ามสระน้ำและการปฏิบัติการช่วยเหลือโดยหมวกขาว
CoinMarketCap ข้อมูลแสดงให้เห็นว่าโทเค็นยูทิลิตี้ของ Curve Finance Curve DAO (CRV) ลดลงมากกว่า 5% ตามข่าว สภาพคล่องของ CRV ลดลงอย่างมากในช่วงหลายเดือนที่ผ่านมา ทำให้มีแนวโน้มที่จะเกิดการแกว่งตัวของราคาอย่างรุนแรง
แม้จะได้รับความเสียหายอย่างมีนัยสำคัญ แต่ Curve Finance ก็มั่นใจได้ว่าสัญญา crvUSD และกลุ่มใดๆ ที่เกี่ยวข้องจะไม่ได้รับผลกระทบจากการเจาะระบบ ผลที่ตามมาของการแฮ็ก Curve Finance ได้ยืนยันเหตุการณ์ดังกล่าวและยอมรับว่าพวกเขาไม่สามารถรักษาความปลอดภัยของพูลได้ทันเวลา ธุรกรรมเดียวที่มองเห็นได้บน Etherscan ยืนยันการใช้ประโยชน์
บริบท
การใช้ประโยชน์นี้ถือเป็นเหตุการณ์ล่าสุดที่มีเป้าหมายที่ Curve Finance เมื่อไม่กี่วันก่อนหน้านี้ ผู้โจมตีใช้ประโยชน์จากแพลตฟอร์ม omnipool ของ การเงินแบบกรวยทำกำไรได้ $3.26 ล้านใน Ether (ETH) ผู้กระทำความผิดได้โอนจำนวนเงินเกือบทั้งหมดที่ถูกขโมยไปยังที่อยู่ Ethereum ใหม่ด้วยธุรกรรมที่รวดเร็วเพียงครั้งเดียว
ขณะนี้เรากำลังตรวจสอบช่องโหว่ที่เกี่ยวข้องกับ ETH Omnipool และจะแบ่งปันการอัปเดตทันทีที่พร้อมใช้งาน
— การเงินของ Conic (@ConicFinance) กรกฎาคม 21, 2023
การแฮ็ก Curve Finance เป็นส่วนหนึ่งของรูปแบบการโจมตีที่กว้างขึ้น DeFi โปรโตคอล ตามรายงานจาก. Web3 แอพพอร์ตโฟลิโอ, De.Fi, DeFi การแฮ็กและการหลอกลวงทำให้เกิดความเสียหายมากกว่า 204 ล้านดอลลาร์ในไตรมาสที่สองของปี 2023
การชำระคืนและการคืนสินค้า
จากเหตุการณ์ดังกล่าว ผู้ก่อตั้ง Curve ได้ดำเนินการทันทีและชำระคืน 4.63 ล้าน USDT และฝาก 16 ล้าน CRV (เทียบเท่ากับ 10.12 ล้านดอลลาร์) ใน Aave. ปัจจุบัน เขามีหลักประกัน 293 ล้าน CRV (มูลค่า 181 ล้านดอลลาร์) และหนี้ 59.68 ล้าน USDT บน Aave โดยมีอัตราสุขภาพ 1.69
ในเหตุการณ์ที่ไม่คาดคิด ผู้ใช้ crypto ชื่อ c0ffeebabe.eth คืน 2,879 ETH (ประมาณ 5.4 ล้านดอลลาร์) ไปยังตัวปรับใช้ Curve เหตุการณ์นี้ได้บรรเทาความสูญเสียบางส่วนที่เกิดจากการแฮ็ค
หลังจาก #เคิร์ฟ ถูกแฮกผู้ก่อตั้ง #เคิร์ฟฟี่ ชำระคืน4.63M $ USDT และฝาก16M CRV $ ($10.12M) #อาฟ.
— Lookonchain (@lookonchain) กรกฎาคม 31, 2023
ปัจจุบันเขามี 293M CRV $ ($181M) หลักประกัน และ 59.68M $ USDT ของหนี้เมื่อ #อาฟโดยมีอัตราสุขภาพ 1.69https://t.co/stkFvDrlnv pic.twitter.com/tzYlt9Vmfk
ควันหลง
ผู้ตรวจสอบยังระบุที่อยู่ของแฮ็กเกอร์และจำนวนเงินที่ใช้ไปกับการแฮ็ก Curve จำนวนเงินทั้งหมดที่ถูกใช้ประโยชน์จนถึงขณะนี้อยู่ที่ประมาณ 52 ล้านดอลลาร์
ที่อยู่ของแฮ็กเกอร์:
- 0xdce5d6b41c32f578f875efffc0d422c57a75d7d8: 7,259 ETH ($13.5M), related to AlchemixFi
- 0x6ec21d1868743a44318c3c259a6d4953f9978538
จากเหตุการณ์เหล่านี้ก็ชัดเจนว่า DeFi แม้ว่าโปรโตคอลจะมีแนวโน้มดี แต่ก็ยังมีช่องโหว่อยู่ โปรโตคอลและผู้ใช้ควรระมัดระวังและกระตือรือร้นในการนำไปใช้และปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุด
เหตุการณ์ที่ไม่เคยมีมาก่อน
มันเป็นวันที่บ้าคลั่งใน crypto ในขณะที่ผู้ที่ชื่นชอบคริปโตหลายคนกำลังเล่นการพนันบน Base การแฮ็กของ Curve ก็เกิดขึ้น ทำให้โทเค็น CRV 32 ล้านรายการอยู่ในมือของแฮ็กเกอร์ สิ่งที่น่าตกใจยิ่งกว่าคือศักยภาพในการชำระบัญชี CRV มูลค่า 100 ล้านเหรียญสหรัฐบน Aave ที่ 0.42 เหรียญสหรัฐ แม้ว่าผู้ก่อตั้งจะพยายามชำระหนี้แล้วก็ตาม
วันที่บ้าใน crypto
— อิกนัส | DeFi วิจัย (@Defiอิกนาส) กรกฎาคม 30, 2023
ในขณะที่ degens กำลังเล่นการพนันบน Base Curve ถูกแฮ็กด้วยโทเค็น CRV 32 ล้านรายการในมือของแฮ็กเกอร์
ที่แย่กว่านั้น มีการชำระบัญชี CRV มูลค่า 100 ล้านเหรียญสหรัฐบน Aave ที่ 0.42 เหรียญสหรัฐ แต่ผู้ก่อตั้งกำลังชำระหนี้อยู่
🤞 pic.twitter.com/9s0JSrNYgt
แฮ็คเส้นโค้ง การวิเคราะห์
เมื่อฝุ่นตกลงบนแฮ็ก Curve Finance ผลกระทบทั้งหมดต่อระบบนิเวศก็เริ่มชัดเจน การโจมตีได้กระทบกระเทือนอย่างรุนแรงต่อ DeFi ระบบนิเวศ โดยเฉพาะอย่างยิ่งส่งผลกระทบต่อโทเค็นที่ได้รับผลกระทบโดยตรง ตัวอย่างเช่น โทเค็นหลายตัวสูญเสียมูลค่ามากกว่า 30% เนื่องจากการใช้ประโยชน์จาก CRV
การตอบสนองอย่างรวดเร็วของผู้ก่อตั้ง Curve ในการชดใช้เงินที่สูญเสียไปบางส่วน และการคืนเงินโดยไม่คาดคิดโดยบุคคลที่สาม รวมถึงการพลิกผันที่น่าขันของแฮ็กเกอร์ที่สูญเสียเงินที่ถูกขโมยไป ช่วยบรรเทาสถานการณ์ลงได้เล็กน้อย อย่างไรก็ตาม เหตุการณ์ดังกล่าวทำหน้าที่เป็นเครื่องเตือนใจถึงช่องโหว่ที่อาจเกิดขึ้นภายในสัญญาอัจฉริยะและในวงกว้าง DeFi ช่องว่าง
เป็นสิ่งสำคัญสำหรับโครงการภายใน DeFi พื้นที่ในการลงทุนอย่างต่อเนื่องในมาตรการรักษาความปลอดภัย ตรวจสอบสัญญาอัจฉริยะ และสร้างแผนฉุกเฉินสำหรับการหาประโยชน์ที่เป็นไปได้ ผู้ใช้ยังต้องระมัดระวังและพิจารณาปัจจัยเสี่ยงเมื่อโต้ตอบด้วย DeFi แพลตฟอร์ม
การแฮ็ก Curve Finance เป็นการเตือนใจอย่างชัดเจนถึงศักยภาพด้านนวัตกรรมและผลตอบแทนสูงของ DeFi ภาคอุตสาหกรรมยังมาพร้อมกับความเสี่ยงที่สำคัญ เมื่อภาคส่วนเติบโตเต็มที่ ความคาดหวังก็คือนักพัฒนาและองค์กรต่างๆ จะนำมาตรการรักษาความปลอดภัยที่แข็งแกร่งมาใช้เป็นแนวปฏิบัติมาตรฐาน ดังนั้นจึงป้องกันโอกาสที่จะเกิดช่องโหว่ดังกล่าวในอนาคต
อ่านเพิ่มเติม:
- 16 มหาวิทยาลัยที่ดีที่สุดสำหรับ Metaverse และ Web3: การศึกษาวิจัย
- 50 Best NFT ตลาดสำหรับผู้สร้าง: Ultimate List 2022
- สูงสุด 7 NFT บริการจดหมายข่าวเพื่อสมัครสมาชิกทันที
ข้อจำกัดความรับผิดชอบ
สอดคล้องกับ แนวทางโครงการที่เชื่อถือได้โปรดทราบว่าข้อมูลที่ให้ไว้ในหน้านี้ไม่ได้มีจุดมุ่งหมายและไม่ควรตีความว่าเป็นคำแนะนำทางกฎหมาย ภาษี การลงทุน การเงิน หรือรูปแบบอื่นใด สิ่งสำคัญคือต้องลงทุนเฉพาะในสิ่งที่คุณสามารถที่จะสูญเสียได้ และขอคำแนะนำทางการเงินที่เป็นอิสระหากคุณมีข้อสงสัยใดๆ สำหรับข้อมูลเพิ่มเติม เราขอแนะนำให้อ้างอิงข้อกำหนดและเงื่อนไขตลอดจนหน้าช่วยเหลือและสนับสนุนที่ผู้ออกหรือผู้ลงโฆษณาให้ไว้ MetaversePost มุ่งมั่นที่จะรายงานที่ถูกต้องและเป็นกลาง แต่สภาวะตลาดอาจมีการเปลี่ยนแปลงได้โดยไม่ต้องแจ้งให้ทราบล่วงหน้า
เกี่ยวกับผู้เขียน
Nik เป็นนักวิเคราะห์และนักเขียนที่ประสบความสำเร็จที่ Metaverse Postซึ่งเชี่ยวชาญในการให้ข้อมูลเชิงลึกที่ทันสมัยในโลกของเทคโนโลยีที่เปลี่ยนแปลงอย่างรวดเร็ว โดยเน้นเป็นพิเศษเกี่ยวกับ AI/ML, XR, VR, การวิเคราะห์บนเชน และการพัฒนาบล็อกเชน บทความของเขามีส่วนร่วมและให้ข้อมูลแก่ผู้ชมที่หลากหลาย ช่วยให้พวกเขานำหน้าเส้นโค้งของเทคโนโลยี Nik สำเร็จการศึกษาระดับปริญญาโทด้านเศรษฐศาสตร์และการจัดการ มีความเข้าใจอย่างถ่องแท้เกี่ยวกับความแตกต่างของโลกธุรกิจและการผสมผสานระหว่างเทคโนโลยีที่เกิดขึ้นใหม่
บทความอื่น ๆNik เป็นนักวิเคราะห์และนักเขียนที่ประสบความสำเร็จที่ Metaverse Postซึ่งเชี่ยวชาญในการให้ข้อมูลเชิงลึกที่ทันสมัยในโลกของเทคโนโลยีที่เปลี่ยนแปลงอย่างรวดเร็ว โดยเน้นเป็นพิเศษเกี่ยวกับ AI/ML, XR, VR, การวิเคราะห์บนเชน และการพัฒนาบล็อกเชน บทความของเขามีส่วนร่วมและให้ข้อมูลแก่ผู้ชมที่หลากหลาย ช่วยให้พวกเขานำหน้าเส้นโค้งของเทคโนโลยี Nik สำเร็จการศึกษาระดับปริญญาโทด้านเศรษฐศาสตร์และการจัดการ มีความเข้าใจอย่างถ่องแท้เกี่ยวกับความแตกต่างของโลกธุรกิจและการผสมผสานระหว่างเทคโนโลยีที่เกิดขึ้นใหม่