分散型金融(DeFi)エコシステムは、地震によるセキュリティインシデントによりカーブファイナンスのプールから61万ドル以上が盗まれて以来、困難なXNUMX週間を経験しており、いくつかのプロトコルはより広範な伝染リスクに直面している。
この攻撃により、DeFi プロジェクト全体の脆弱性が暴露され、過去数日間に盗まれた資金を回収する取り組みが活発化しました。
コミュニティがこのエクスプロイトの余波を乗り越える中、コインテレグラフはその週の出来事をまとめ、30月XNUMX日のハッキング以降に何が起こったかをタイムラインで示した。
ハッキング: リエントランシーの脆弱性により、Curve Finance のプールが 61 万ドル以上悪用される
Vyper プログラミング言語を使用した Curve Finance のいくつかの安定したプールが 30 月 61 日に悪用され、損失は XNUMX 万ドル以上に達しました (損失総額は 当初の推定額は47万ドル)。 この脆弱性はVyperのバージョン0.2.15、0.2.16、0.3.0で見つかった。
いくつかの DeFi プロジェクトが攻撃の影響を受けました。 分散型取引所 (DEX) Ellipsis は、BNB を備えた少数の安定したプールを報告しました (BNB) は古い Vyper コンパイラを使用して悪用されました。 また、Alchemix の alETH-ETH では、この攻撃により 13.6 万ドルの流出が確認されたほか、JPEGd の pETH-ETH プールで悪用された 11.4 万ドル、Metronome の sETH-ETH プールから 1.6 万ドルが流出しました。 カーブ・ファイナンスのCEO、マイケル・エゴロフ氏も 確認された 32万ドル以上相当の22万個のCurve DAO (CRV) トークンがスワッププールから流出したとのこと。
BNB スマート チェーン (BSC) 模倣攻撃の被害者でもあった 同じ脆弱性が原因で、BSC 上の 73,000 件のエクスプロイトで約 XNUMX ドル相当の暗号通貨が盗まれました。
このエクスプロイトのニュースが流れて以来、ホワイトハットハッカーとブラックハットハッカーがオンチェーン上でこのエクスプロイトの攻防を繰り広げ、互いのエクスプロイトの試みや資金を回収する取り組みを妨害しようとしている。
予備調査により、Vyper コンパイラの一部のバージョンが、コントラクトをロックすることで複数の関数が同時に実行されるのを防ぐリエントラント ガードを正しく実装していないことが判明しました。
影響: Vyper の脆弱性により、DeFi エコシステムがストレステストにさらされます。 CRV価格急落
セキュリティインシデント DeFiプロトコルをストレステストにさらす 翌日には、この脆弱性が暗号通貨エコシステムに及ぼす影響についての懸念が高まりました。特に、この脆弱性によりすべてのプールが危険にさらされる可能性があるためです。 ラップされたイーサ (WETH) 攻撃の危険にさらされています。
Vyper は、イーサリアム仮想マシン用に設計されたコントラクト プログラミング言語です。 これは、最も広く使用されている Web3 プログラミング言語の XNUMX つであると考えられており、そのバージョンのうち XNUMX つのバグは他のいくつかのプロトコルを脅かす可能性があることを意味します。
エクスプロイトも これまでで最大規模の一つにつながった 最大抽出可能価値 (MEV) 報酬ブロック 584.05 イーサ (ETH)。 イーサリアムのコア開発者「eric.eth」によると、ボットはメモリプールへのハッキングに気づき、トランザクションを再現してフロントランしたという。 「そうするために、彼らは先頭に立ってもらうためにブロックプロデューサーに多額のETHを支払っているのです」と彼は説明した。 MEV ボットは保留中の清算トランザクションを確認し、先行して清算された資産を割引価格で購入することができます。
今日では、イーサリアムの歴史の中で最大の MEV 報酬ブロックのいくつかが生み出されました。
スロット 6,992,273: 584 ETH
スロット 6,993,342: 345 ETH
スロット 6,992,050: 247 ETH
スロット 6,993,346: 51 ETH— eric.eth(@econoar) 2022年7月11日
カーブのCEO、担保ローンの支払いに急ぐ
他の場所の脅威も、DeFi全体に波及効果を引き起こす可能性があります。 カーブ・ファイナンスの創設者 マイケル・エゴロフ プロトコルのネイティブ トークンである CRV の流通供給量の 100% を裏付けとした約 47 億ドルの融資がありました。
しかし、エゴロフ氏の担保ローンが清算されるのではないかとの懸念から、CRV価格はハッキング後30%近く下落し、0.48ドルの安値まで下落した。
借金を減らすために、エゴロフは 39.25万個のCRVトークンを販売 Justin Sun、Machi Big Brother、DWF Labsを含む著名なDeFi投資家数名に総額15.8万ドルで寄付されました。 購入者は CRV をトークンあたり 0.40 ドルで購入しました。これは当時の市場価格の 25% 割引です。 さらに、エゴロフはAaveとFrax FinanceのXNUMXつのローンの一部を支払いました。
CEX 価格フィードはカーブ価格の崩壊を防ぎます
CRVトークンの価格は、いくつかのプールの大幅な枯渇により、DeFi市場で暴落しました。 しかし、最終的には集中取引所 (CEX) の価格フィードによって救われました。 CRV価格はDEXでは0.086ドルに達しましたが、CEXでは0.60ドルで取引されており、トークンの価格がゼロに崩壊することはありませんでした。
この皮肉な事件は、Binance CEOのChangpeng Zhao氏の注目を集めたが、彼は最終的にDeFiプロトコルを救ったのはCEX価格フィードだったという事実を見て笑った。
また、不確実な環境に反応して、Curve のネイティブ ステーブルコイン crvUSD も一時的に停止されました。 3月XNUMX日にペッグ解除。 アルゴリズムステーブルコインは米ドルとのペッグを取り戻す前に最大0.35%下落した。 最近開始された crvUSD は、PegKeeper アルゴリズムと呼ばれるペッグを維持するためのメカニズムを使用しており、需要と供給のバランスをとりながら crvUSD の価値が担保によって適切に裏付けられていることを保証します。
DeFiコミュニティ:倫理的ハッカーが悪用の最中にCurve Financeから5.4万ドルを回収
危機の間、DeFiコミュニティはCurve Financeを支持しました。 31月XNUMX日、ホワイトハッカーが 約2,879イーサを回収することができました 約5.4万ドル相当のETHを搾取者から回収し、そのETHをCurve Financeに返還した。 数時間後、別の倫理的ハッカーが約3,000 ETHを押収し、そのETHをCurveのデプロイヤーアドレスに返送しました。
エゴロフ氏の融資をめぐる清算の懸念がある中、フォビの共同創設者ジュン・ドゥ氏はこう言った。 10万CRVを購入 カーブのCEOから4万ドルで。 さらに、Aave Chan の創設者である Marc Zeller 氏は、 Aave財務省に2万ドルの買収を提案 プロトコルからの CRV トークンの価値。 提案によれば、この買収はDeFiプレーヤーがエコシステムの健全性をサポートしていることを示すものになるという。
crvUSDはどうですか? 価格はショックイベントにどのように反応しますか?デペグはありますか?
最近の出来事は、ある意味でSVB/USDCの状況に似ていると感じました。 ただし、crvUSD はわずか 0.35% の下落であり、現在はペッグから 0.1% です。 pic.twitter.com/HaMfbkiFSR
—カーブファイナンス(@CurveFinance) 2023 年 8 月 3 日
クロスチェーン融資プラットフォームAbracadabra Moneyも 金利を上げることを提案した CRVへのエクスポージャーに関連するリスクを管理するために、未払いの融資を削減する。
資金の返還: Curve、Metronome、Alchemix は 10% のバグ報奨金を提供します。 ハッカーがそれを奪う
3月10日、Curve、Metronome、Alchemixは共同で、Curveのプールの最近の悪用から盗まれた資金を回収する取り組みを発表した。 この議定書は、押収した資金の 90% を報酬として報奨金として提示し、エクスプロイトの責任者に名乗り出て残りの 7% を返還するよう求めており、そうすれば報奨金は XNUMX 万ドル近くになることになります。
この申し出には、今後の法的措置や法執行機関の関与が一切ないという保証が付いていた。 「私たちはこの問題を文明的な方法で解決したいと考えています」とプロトコルはハッカーに宛てて書いている。
24 月 4 日の 4,820.55 時間も経たないうちに、数百万ドル規模のエクスプロイトを行った元の攻撃者は明らかに報奨金の申し出を受け入れ、数日前に盗まれた資金の返還を開始しました。 ハッカーは、約 8,889,118 ドル相当の 1 Alchemix ETH (alETH) を Alchemix Finance チームに送り返し、また 1,844 ETH (約 XNUMX ドル相当) を Curve Finance チームに送り返しました。
攻撃者はまた、Alchemix チームと Curve チームに向けられたと思われるメッセージを投稿し、資金を返却するつもりはあるが、それは関与したプロジェクトを「台無しにしたくなかった」だけであり、攻撃者が捕まったからではないと主張した。
本稿執筆時点で総額8.9万ドル相当の仮想通貨が返還されており、これは流出総額の約15%に相当する。
Amaka Nwaokocha、Ezra Reguerra、Martin Young、Nivesh Rustgi、Prashant Jha、Tom Blackstone、Zhiyuan Sun による追加レポート。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 自動車/EV、 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- ブロックオフセット。 環境オフセット所有権の近代化。 こちらからアクセスしてください。
- 情報源: https://cointelegraph.com/news/curve-vyper-exploit-whole-story-so-far
