The Aftermath of the Curve Finance Hack
Децентралізовані фінанси (DeFi) промисловість зіткнулася з черговою значною невдачею. Криві фінанси, видатний DeFi протоколу, був використаний 30 липня, що призвело до збитків, що перевищили 47 мільйонів доларів. Цей інцидент став наслідком уразливості повторного входу у Vyper версій 0.2.15, 0.2.16 і 0.3.0, які використовували кілька стабільних пулів на Curve Finance.
Уразливість
Основною причиною експлойту стала несправність блокувань повторного входу певних версій Vyper, контрактно-орієнтованої мови програмування на пітоніці, націленої на віртуальну машину Ethereum (EVM). Ця мова програмування є кращим вибором для розробників Python, які переходять на неї Web3 завдяки своїй схожості з Python.
Початкове дослідження показує, що ці версії компілятора Vyper неправильно реалізують захист від повторного входу. Атаки повторного входу відбуваються, коли контракт заблоковано, що запобігає одночасному виконанню кількох функцій. Якщо це не реалізовано належним чином, це потенційно може вичерпати всі кошти з контракту. Охоронна фірма Ancilia виявила 136 контрактів з використанням Vyper 0.2.15, 98 контрактів з використанням Vyper 0.2.16 і 226 контрактів з використанням Vyper 0.3.0 із захистом від повторного входу.
Curve Hack
Кілька DeFi проекти постраждали від цього експлойту, що призвело до значних відтоків. Наприклад, еліпсис, децентралізована біржа, повідомила, що кілька стабільних пулів із BNB використовувалися за допомогою старого компілятора Vyper. З alETH-ETH Alchemix відтік склав 13.6 мільйона доларів. Пул pETH-ETH JPEGd був використаний на 11.4 мільйона доларів, а пул sETH-ETH Metronome втратив 1.6 мільйона доларів.
Кілька стабільних пулів (alETH/msETH/pETH), які використовують Vyper 0.2.15, були використані в результаті несправного блокування повторного входу. Ми оцінюємо ситуацію та інформуватимемо спільноту по мірі розвитку подій.
- Curve Finance (@CurveFinance) Липень 30, 2023
Інші басейни безпечні. https://t.co/eWy2d3cDDj
Після цих атак, Михайло Єгоров, генеральний директор Curve Finance, підтвердив, що понад 32 мільйони токенів CRV вартістю понад 22 мільйони доларів були виведені з пулу обміну. Це підтвердження надійшло після паніки, яка виникла в усьому світі DeFi екосистеми, що призвело до численних транзакцій між пулами та рятувальної операції білих капелюхів.
CoinMarketCap дані показують, що утилітарний токен Curve DAO (CRV) компанії Curve Finance впав більш ніж на 5% у відповідь на цю новину. Ліквідність CRV значно знизилася в останні місяці, що робить його схильним до сильних коливань цін.
Незважаючи на значні збитки, Curve Finance запевнила, що експлойт не вплинув на контракти crvUSD і будь-які пов’язані з ним пули. Після злому Curve Finance підтвердила інцидент і визнала, що вони не змогли вчасно захистити пул. Одна транзакція, видима на Etherscan, підтвердила експлойт.
Контекст
Цей експлойт став останнім із серії інцидентів, спрямованих на Curve Finance. Лише кілька днів тому зловмисник використав платформу omnipool Конічні фінанси, здобувши 3.26 мільйона доларів в ефірі (ETH). Зловмисник перевів майже всю викрадену суму на нову адресу Ethereum за одну швидку транзакцію.
Зараз ми досліджуємо експлойт, пов’язаний з ETH Omnipool, і поділимося оновленнями, щойно вони будуть доступні.
— Conic Finance (@ConicFinance) Липень 21, 2023
Злом Curve Finance є частиною ширшої моделі атак на DeFi протоколи. Згідно з повідомленням в Web3 програма для портфоліо, De.Fi, DeFi лише за другий квартал 204 року збитки від зломів і шахрайства становили понад 2023 мільйони доларів.
Оплата та повернення
У результаті інциденту засновник Curve діяв швидко та повернув 4.63 мільйона доларів США та вніс 16 мільйонів CRV (еквівалент 10.12 мільйона доларів США) на Повз. Зараз він має заставу в розмірі 293 млн. CRV (оцінюється в 181 млн. доларів США) і борг у розмірі 59.68 млн. доларів США на Aave, а показник здоров’я становить 1.69.
У результаті несподіваного повороту подій криптокористувач назвав c0ffeebabe.eth повернув 2,879 ETH (приблизно 5.4 мільйона доларів) розгортачу Curve. Ця подія зменшила частину збитків, спричинених хакерством.
Трансакція повернення на Etherscan
після # Крива був зламаний, засновник о #curvefi погашено 4.63 млн $ USDT і депоновано 16 млн $ CRV ($10.12 млн) на # Аве.
— Lookonchain (@lookonchain) Липень 31, 2023
Зараз він має 293 млн $ CRV ($181 млн) застави та 59.68 млн $ USDT боргу на # Аве, з показником здоров’я 1.69.https://t.co/stkFvDrlnv pic.twitter.com/tzYlt9Vmfk
Aftermath
Слідчі також визначили адреси хакерів і суму коштів, використаних у зв’язку зі зломом Curve. Загальна сума, видобута на даний момент, становить близько 52 мільйонів доларів.
Адреси хакерів:
- 0xdce5d6b41c32f578f875efffc0d422c57a75d7d8: 7,259 ETH ($13.5M), related to AlchemixFi
- 0x6ec21d1868743a44318c3c259a6d4953f9978538
З цих подій це зрозуміло DeFi протоколи, хоч і багатообіцяючі, все ж мають свої вразливості. Протоколи та користувачі мають залишатися пильними та активними у впровадженні та дотриманні найкращих методів безпеки.
Безпрецедентні події
Це справді був божевільний день у криптовалюті. Поки багато криптоентузіастів грали на Base, відбувся злом Curve, залишивши 32 млн токенів CRV у руках хакера. Ще більш шокуючим був потенціал для ліквідації CRV на суму 100 мільйонів доларів на Aave за 0.42 долара США, хоча засновник докладав зусиль, щоб погасити борг.
Божевільний день у криптовалюті.
— Ігнась | DeFi Дослідження (@DefiІгнась) Липень 30, 2023
Поки дегени грають на Base, Curve зламано з 32 млн токенів CRV у руках хакера.
Що ще гірше, є ліквідація CRV на суму 100 мільйонів доларів на Aave за 0.42 долара США, але засновник наразі повертає борг.
🤞 pic.twitter.com/9s0JSrNYgt
Curve Hack аналіз
У міру того, як хаки Curve Finance вляжаться пил, повний вплив на екосистему стає очевидним. Атака завдала сильного удару по в DeFi екосистеми, особливо впливаючи на токени, які постраждали від прямих наслідків. Наприклад, кілька токенів втратили понад 30% своєї вартості через експлойт CRV.
Швидка реакція засновника Curve щодо повернення частини втрачених коштів і несподіване повернення коштів третьою стороною разом із іронією втрати хакером вкрадених коштів трохи пом’якшили ситуацію. Тим не менш, цей інцидент служить нагадуванням про потенційні вразливості в смарт-контрактах і загалом DeFi просторі.
Це важливо для проектів у межах DeFi простір для постійного інвестування в заходи безпеки, аудит їхніх смарт-контрактів і створення планів на випадок можливих експлойтів. Користувачі також повинні бути пильними та враховувати фактори ризику під час взаємодії з DeFi платформи.
Хак Curve Finance є яскравим нагадуванням про те, що інноваційний потенціал і високий потенціал винагороди DeFi сектор також пов'язаний із значним ризиком. Очікується, що з розвитком сектора розробники та організації запровадять надійні заходи безпеки як стандартну практику, тим самим виключаючи ймовірність подібних експлойтів у майбутньому.
Детальніше:
- 16 найкращих університетів для Metaverse та Web3: Освіта, наук
- 50 найкраще NFT Ринки для творців: остаточний список 2022
- Кращі 7 NFT Послуги розсилки, щоб підписатися прямо зараз
відмова
Відповідно до Правила проекту Trust, будь ласка, зверніть увагу, що інформація, надана на цій сторінці, не призначена і не повинна тлумачитися як юридична, податкова, інвестиційна, фінансова або будь-яка інша форма консультації. Важливо інвестувати лише те, що ви можете дозволити собі втратити, і звернутися за незалежною фінансовою порадою, якщо у вас виникнуть сумніви. Щоб отримати додаткову інформацію, ми пропонуємо звернутися до положень та умов, а також до сторінок довідки та підтримки, наданих емітентом або рекламодавцем. MetaversePost прагне до точного, неупередженого звітування, але ринкові умови можуть змінюватися без попередження.
про автора
Нік є досвідченим аналітиком і письменником Metaverse Post, що спеціалізується на наданні передової інформації про динамічний світ технологій, з особливим акцентом на AI/ML, XR, VR, онлайн-аналітиці та розробці блокчейнів. Його статті залучають та інформують різноманітну аудиторію, допомагаючи їй залишатися попереду технологічного розвитку. Маючи ступінь магістра економіки та менеджменту, Нік добре розуміє нюанси ділового світу та його перетину з новими технологіями.
інші статтіНік є досвідченим аналітиком і письменником Metaverse Post, що спеціалізується на наданні передової інформації про динамічний світ технологій, з особливим акцентом на AI/ML, XR, VR, онлайн-аналітиці та розробці блокчейнів. Його статті залучають та інформують різноманітну аудиторію, допомагаючи їй залишатися попереду технологічного розвитку. Маючи ступінь магістра економіки та менеджменту, Нік добре розуміє нюанси ділового світу та його перетину з новими технологіями.