Ang Resulta ng Curve Finance Hack
Ang desentralisadong pananalapi (DeFi) ang industriya ay nahaharap sa isa pang makabuluhang pag-urong. Pananalapi sa curve, isang kilalang DeFi protocol, ay pinagsamantalahan noong Hulyo 30, na humantong sa pagkalugi na lumampas sa $47 milyon. Ang insidenteng ito ay bunga ng isang kahinaan sa muling pagpasok sa mga bersyon ng Vyper 0.2.15, 0.2.16, at 0.3.0 na ginagamit ng ilang stable na pool sa Curve Finance.
Ang Kahinaan
Ang pangunahing sanhi ng pagsasamantala ay isang malfunction sa reentrancy lock ng mga partikular na bersyon ng Vyper, isang contract-oriented, pythonic programming language na nagta-target sa Ethereum Virtual Machine (EVM). Ang programming language na ito ay isang ginustong pagpipilian para sa mga developer ng Python na lumipat sa Web3 dahil sa pagkakatulad nito sa Python.
Ang paunang pagsisiyasat ay nagpapakita na ang mga bersyon ng Vyper compiler na ito ay hindi nagpapatupad ng reentrancy guard nang tama. Nangyayari ang mga pag-atake sa muling pagpasok kapag ang isang kontrata ay naka-lock, na pumipigil sa maramihang mga function na maisakatuparan nang sabay-sabay. Kung hindi maipatupad nang tama, maaari nitong maubos ang lahat ng pondo mula sa isang kontrata. Ang Ancilia, isang security firm, ay natukoy ang 136 na mga kontrata na gumagamit Vyper 0.2.15, 98 kontrata gamit ang Vyper 0.2.16, at 226 kontrata gamit ang Vyper 0.3.0 na may proteksyon sa muling pagpasok.
Curve Hack
Ilang DeFi ang mga proyekto ay naapektuhan ng pagsasamantalang ito, na humahantong sa makabuluhang pag-agos. Halimbawa, elipsisAng , isang desentralisadong palitan, ay nag-ulat na ang ilang matatag na pool na may BNB ay pinagsamantalahan gamit ang isang lumang Vyper compiler. Ang alETH-ETH ng Alchemix ay nakakita ng outflow na $13.6 milyon. Ang pETH-ETH pool ng JPEGd ay pinagsamantalahan para sa $11.4 milyon, at ang sETH-ETH pool ng Metronome ay nawalan ng $1.6 milyon.
Ang ilang mga stablepool (alETH/msETH/pETH) na gumagamit ng Vyper 0.2.15 ay pinagsamantalahan bilang resulta ng hindi gumaganang reentrancy lock. Sinusuri namin ang sitwasyon at ia-update namin ang komunidad habang umuunlad ang mga bagay-bagay.
- Curve Finance (@CurveFinance) Hulyo 30, 2023
Ligtas ang ibang pool. https://t.co/eWy2d3cDDj
Kasunod ng mga pag-atakeng ito, Mikhail Egorov, ang CEO ng Curve Finance, ay nakumpirma na higit sa 32 milyong CRV token na nagkakahalaga ng higit sa $22 milyon ang na-drain mula sa swap pool. Ang kumpirmasyong ito ay dumating kasunod ng pagkasindak sa buong DeFi ecosystem, na humahantong sa maraming transaksyon sa mga pool at isang rescue operation sa pamamagitan ng mga puting sumbrero.
CoinMarketCap ipinapakita ng data na ang utility token ng Curve Finance na Curve DAO (CRV) ay bumaba ng higit sa 5% bilang reaksyon sa balita. Ang pagkatubig ng CRV ay makabuluhang nabawasan nitong mga nakaraang buwan, na nagiging sanhi ng marahas na pagbabago sa presyo.
Sa kabila ng malaking pinsala, tiniyak ng Curve Finance na ang mga kontrata ng crvUSD at anumang mga pool na nauugnay dito ay hindi apektado ng pagsasamantala. Sa resulta ng hack, kinumpirma ng Curve Finance ang insidente at inamin na hindi nila ma-secure ang pool sa oras. Isang transaksyon na nakikita sa Etherscan ang nagkumpirma ng pagsasamantala.
Kaugnay na kahulugan
Ang pagsasamantalang ito ay ang pinakabago sa isang serye ng mga insidente na nagta-target sa Curve Finance. Ilang araw lang ang nakalipas, sinamantala ng isang attacker ang omnipool platform ng Conic na Pananalapi, na kumikita ng $3.26 milyon sa Ether (ETH). Inilipat ng salarin ang halos buong ninakaw na halaga sa isang bagong Ethereum address sa isang mabilis na transaksyon.
Kasalukuyan kaming nag-iimbestiga ng pagsasamantalang kinasasangkutan ng ETH Omnipool at magbabahagi ng mga update sa sandaling available na ang mga ito.
— Conic Finance (@ConicFinance) Hulyo 21, 2023
Ang Curve Finance hack ay isang bahagi ng mas malawak na pattern ng mga pag-atake sa DeFi mga protocol. Ayon sa ulat mula sa Web3 portfolio app, De.Fi, DeFi Ang mga hack at scam ay umabot ng mahigit $204 milyon na pagkalugi sa ikalawang quarter lamang ng 2023.
Pagbabayad at Pagbabalik
Bilang resulta ng insidente, agad na kumilos ang tagapagtatag ng Curve at nagbayad ng 4.63M USDT at nagdeposito ng 16M CRV (katumbas ng $10.12M) sa Kumuha. Sa kasalukuyan, mayroon siyang collateral na 293M CRV (na nagkakahalaga ng $181M) at may utang na 59.68M USDT sa Aave, na may rate ng kalusugan na 1.69.
Sa isang hindi inaasahang pangyayari, pinangalanan ng isang gumagamit ng crypto c0ffeebabe.eth nagbalik ng 2,879 ETH (humigit-kumulang $5.4m) sa Curve deployer. Nabawasan ng kaganapang ito ang ilan sa mga pagkawala na dulot ng hack.
Ibalik ang Transaksyon sa Etherscan
pagkatapos #Kurba ay na-hack, ang nagtatag ng #curvefi binayaran ng 4.63M $ USDT at nagdeposito ng 16M $ CRV ($10.12M) sa #ave.
— Lookonchain (@lookonchain) Hulyo 31, 2023
Siya ay kasalukuyang may 293M $ CRV ($181M) ng collateral at 59.68M $ USDT ng utang sa #ave, na may rate ng kalusugan na 1.69.https://t.co/stkFvDrlnv pic.twitter.com/tzYlt9Vmfk
Ang resulta
Tinukoy din ng mga imbestigador ang mga address ng hacker at ang halaga ng mga pondong pinagsamantalahan kaugnay ng Curve hack. Ang kabuuang halaga na pinagsamantalahan sa ngayon ay humigit-kumulang $52M.
Mga Address ng Hacker:
- 0xdce5d6b41c32f578f875efffc0d422c57a75d7d8: 7,259 ETH ($13.5M), related to AlchemixFi
- 0x6ec21d1868743a44318c3c259a6d4953f9978538
Mula sa mga kaganapang ito, malinaw na DeFi ang mga protocol, habang nangangako, mayroon pa ring mga kahinaan. Ang mga protocol at user ay dapat manatiling mapagbantay at maagap sa pagpapatupad at pagsunod sa mga pinakamahusay na kasanayan sa seguridad.
Mga Kaganapang Walang Katulad
Ito ay talagang isang nakatutuwang araw sa crypto. Habang maraming mahilig sa crypto ang nagsusugal sa Base, naganap ang Curve hack, na nag-iwan ng 32M CRV token sa mga kamay ng hacker. Ang mas nakakagulat ay ang potensyal para sa $100M CRV liquidation sa Aave sa $0.42 USD, bagama't ang founder ay nagsisikap na bayaran ang utang.
Nakakabaliw na araw sa crypto.
— Ignas | DeFi Pananaliksik (@DefiIgnas) Hulyo 30, 2023
Habang nagsusugal ang mga degens sa Base, na-hack ang Curve gamit ang 32M CRV token sa kamay ng hacker.
Ang masama pa, mayroong $100M CRV liquidation sa Aave sa $0.42 USD, ngunit kasalukuyang binabayaran ng founder ang utang.
🤞 pic.twitter.com/9s0JSrNYgt
Curve Hack Pagsusuri
Habang naninirahan ang alikabok sa hack ng Curve Finance, nagiging malinaw ang buong epekto sa ecosystem. Ang pag-atake ay nagdulot ng matinding suntok sa DeFi ecosystem, lalo na ang epekto sa mga token na dumanas ng mga direktang kahihinatnan. Halimbawa, ilang token ang nawalan ng higit sa 30% ng kanilang halaga dahil sa pagsasamantala sa CRV.
Ang mabilis na pagtugon ng tagapagtatag ng Curve na bayaran ang ilan sa mga nawalang pondo at ang hindi inaasahang pagbabalik ng mga pondo ng isang ikatlong partido, kasama ang kabalintunaan ng pagkawala ng mga ninakaw na pondo ng hacker, ay bahagyang nagpagaan sa sitwasyon. Gayunpaman, ang insidente ay nagsisilbing isang paalala ng mga potensyal na kahinaan sa loob ng mga matalinong kontrata at mas malawak DeFi espasyo.
Ito ay mahalaga para sa mga proyekto sa loob ng DeFi puwang upang patuloy na mamuhunan sa mga hakbang sa seguridad, i-audit ang kanilang mga matalinong kontrata, at lumikha ng mga contingency plan para sa mga posibleng pagsasamantala. Ang mga gumagamit ay dapat ding maging mapagbantay at isaalang-alang ang mga kadahilanan ng panganib kapag nakikipag-ugnayan sa DeFi platform.
Ang Curve Finance hack ay isang matinding paalala na ang makabago at mataas na reward na potensyal ng DeFi sektor din ay may malaking panganib. Sa pagkahinog ng sektor, ang inaasahan ay ang mga developer at organisasyon ay magpapatibay ng matatag na mga hakbang sa seguridad bilang karaniwang kasanayan, at sa gayon ay maiiwasan ang posibilidad ng mga ganitong pagsasamantala sa hinaharap.
Magbasa nang higit pa:
- 16 Pinakamahusay na Unibersidad para sa Metaverse at Web3: Edukasyon, Pananaliksik
- 50 Best NFT Mga Marketplace para sa Mga Creator: Ultimate List 2022
- Nangungunang 7 NFT Mga Serbisyo sa Newsletter para Mag-subscribe Ngayon
Pagtanggi sa pananagutan
Sa linya na may Mga alituntunin ng Trust Project, pakitandaan na ang impormasyong ibinigay sa pahinang ito ay hindi nilayon at hindi dapat bigyang-kahulugan bilang legal, buwis, pamumuhunan, pananalapi, o anumang iba pang paraan ng payo. Mahalagang mamuhunan lamang kung ano ang maaari mong mawala at humingi ng independiyenteng payo sa pananalapi kung mayroon kang anumang mga pagdududa. Para sa karagdagang impormasyon, iminumungkahi naming sumangguni sa mga tuntunin at kundisyon pati na rin sa mga pahina ng tulong at suporta na ibinigay ng nagbigay o advertiser. MetaversePost ay nakatuon sa tumpak, walang pinapanigan na pag-uulat, ngunit ang mga kondisyon ng merkado ay maaaring magbago nang walang abiso.
Tungkol sa Ang May-akda
Si Nik ay isang magaling na analyst at manunulat sa Metaverse Post, na dalubhasa sa paghahatid ng mga makabagong insight sa mabilis na mundo ng teknolohiya, na may partikular na diin sa AI/ML, XR, VR, on-chain analytics, at blockchain development. Ang kanyang mga artikulo ay nakikipag-ugnayan at nagpapaalam sa magkakaibang madla, na tumutulong sa kanila na manatiling nangunguna sa teknolohikal na kurba. Ang pagkakaroon ng isang Master's degree sa Economics at Pamamahala, si Nik ay may matatag na kaalaman sa mga nuances ng mundo ng negosyo at ang intersection nito sa mga umuusbong na teknolohiya.
Mas marami pang artikuloSi Nik ay isang magaling na analyst at manunulat sa Metaverse Post, na dalubhasa sa paghahatid ng mga makabagong insight sa mabilis na mundo ng teknolohiya, na may partikular na diin sa AI/ML, XR, VR, on-chain analytics, at blockchain development. Ang kanyang mga artikulo ay nakikipag-ugnayan at nagpapaalam sa magkakaibang madla, na tumutulong sa kanila na manatiling nangunguna sa teknolohikal na kurba. Ang pagkakaroon ng isang Master's degree sa Economics at Pamamahala, si Nik ay may matatag na kaalaman sa mga nuances ng mundo ng negosyo at ang intersection nito sa mga umuusbong na teknolohiya.