분산형 금융(DeFi) 생태계는 지진과 같은 보안 사고로 인해 Curve Finance의 풀에서 61만 달러 이상이 도난당하고 여러 프로토콜이 더 광범위한 전염 위험에 직면한 후 어려운 한 주를 경험했습니다.
이 공격은 DeFi 프로젝트 전반에 걸쳐 취약점을 노출시켰고 지난 며칠 동안 도난당한 자금을 회수하려는 노력을 촉발시켰습니다.
커뮤니티가 이 익스플로잇의 여파를 탐색하는 동안 Cointelegraph는 30월 XNUMX일 해킹 이후 발생한 일에 대한 타임라인을 제시하는 주간 이벤트를 편집했습니다.
해킹: 재진입 취약점으로 인해 Curve Finance 풀이 61만 달러 이상 악용됨
Vyper 프로그래밍 언어를 사용하는 Curve Finance의 여러 안정적인 풀이 30월 61일에 악용되어 XNUMX만 달러 이상의 손실이 발생했습니다(총 손실은 당초 47만 달러로 추산). 이 취약점은 Vyper의 버전 0.2.15, 0.2.16 및 0.3.0에서 발견되었습니다.
여러 DeFi 프로젝트가 공격의 영향을 받았습니다. 탈중앙화 거래소(DEX) Ellipsis는 BNB가 있는 소수의 안정적인 풀(BNB)는 이전 Vyper 컴파일러를 사용하여 악용되었습니다. Alchemix의 alETH-ETH도 이 공격으로 인해 13.6만 달러가 유출되었으며, JPEGd의 pETH-ETH 풀에서 11.4만 달러, Metronome의 sETH-ETH 풀에서 1.6만 달러가 유출되었습니다. Curve Finance CEO 마이클 에고로프(Michael Egorov)도 확인 된 32만 달러 이상의 가치가 있는 22만 개의 Curve DAO(CRV) 토큰이 스왑 풀에서 빠져나갔습니다.
BNB 스마트체인(BSC) 모방 공격의 피해자이기도 하다. 동일한 취약점으로 인해 세 가지 익스플로잇에 걸쳐 BSC에서 약 $73,000 상당의 암호화폐가 도난당했습니다.
익스플로잇에 대한 뉴스가 나온 이후 화이트 햇과 블랙 햇 해커는 서로의 익스플로잇 시도나 자금 회수 노력을 방해하려고 온체인에서 이를 다투고 있습니다.
예비 조사에서 Vyper 컴파일러의 일부 버전이 재진입 가드를 올바르게 구현하지 않았음을 발견했습니다.
영향: Vyper 취약점으로 인해 DeFi 생태계가 스트레스 테스트에 노출됩니다. CRV 가격 폭락
보안 사건 DeFi 프로토콜을 스트레스 테스트에 노출 다음 며칠 동안 악용이 암호화 생태계에 미치는 영향에 대한 우려를 제기했습니다. 래핑 된 에테르 (WETH) 공격의 위험이 있습니다.
Vyper는 Ethereum Virtual Machine용으로 설계된 계약 프로그래밍 언어입니다. 이것은 가장 널리 사용되는 Web3 프로그래밍 언어 중 하나로 간주되며, 이는 세 가지 버전의 버그가 여러 다른 프로토콜을 위협할 수 있음을 의미합니다.
익스플로잇도 사상 최대 규모 중 하나로 이어졌습니다. 584.05 Ether의 최대 추출 가능 가치(MEV) 보상 블록(ETH). 이더리움 코어 개발자 'eric.eth'에 따르면 봇은 mempool에서 들어오는 해킹을 감지하고 트랜잭션을 재생산하여 프론트런(front-ran)했습니다. "그렇게 하기 위해 그들은 블록 생산자에게 많은 ETH를 지불하여 최전방에 서게 합니다."라고 그는 설명했습니다. MEV 봇은 보류 중인 청산 거래를 확인하고 이를 먼저 실행하여 청산된 자산을 할인된 가격으로 구매할 수 있습니다.
오늘날 이더리움 역사상 가장 큰 MEV 보상 블록을 생산했습니다.
슬롯 6,992,273: 584 ETH
슬롯 6,993,342: 345 ETH
슬롯 6,992,050: 247 ETH
슬롯 6,993,346: 51 ETH— eric.eth (@econoar) 2023 년 7 월 30 일
Curve의 CEO는 담보 대출을 지불하기 위해 서둘러
다른 곳의 위협도 DeFi 전체에 파급 효과를 일으킬 수 있습니다. 커브파이낸스 창업자 마이클 에고 로프 프로토콜의 기본 토큰인 CRV의 순환 공급량의 100%로 뒷받침되는 대출금이 약 47억 달러였습니다.
그러나 CRV 가격은 해킹 이후 30% 가까이 하락하여 Egorov의 담보 대출이 청산될 것이라는 우려로 최저 $0.48까지 떨어졌습니다.
부채를 줄이기 위해 Egorov 39.25만 CRV 토큰 판매 Justin Sun, Machi Big Brother 및 DWF Labs를 포함한 여러 저명한 DeFi 투자자에게 총 15.8만 달러 구매자는 당시 시장 가격에서 0.40% 할인된 토큰당 $25에 CRV를 구입했습니다. 또한 Egorov는 Aave 및 Frax Finance에서 두 가지 대출에 대한 부분 지불을 했습니다.
CEX 가격 피드는 Curve 가격 붕괴를 방지합니다.
여러 풀의 상당한 고갈로 인해 DeFi 시장에서 CRV 토큰 가격이 폭락했습니다. 그러나 결국 중앙화 거래소(CEX) 가격 피드에 의해 저장되었습니다. CRV 가격은 DEX에서 $0.086에 도달했지만 CEX에서 $0.60에 거래되어 토큰 가격이 XNUMX으로 떨어지는 것을 방지했습니다.
아이러니한 사건은 결국 DeFi 프로토콜을 구한 것이 CEX 가격 피드라는 사실에 웃었던 Binance CEO Changpeng Zhao의 관심을 끌었습니다.
또한 불확실한 환경에 대응하여 Curve의 기본 스테이블 코인인 crvUSD는 간단히 3월 XNUMX일에 depegged. 알고리즘 스테이블 코인은 미국 달러에 고정되기 전에 0.35%만큼 하락했습니다. 최근에 출시된 crvUSD는 PegKeeper 알고리즘이라는 페그를 유지하는 메커니즘을 사용하여 수요와 공급의 균형을 유지하면서 crvUSD 가치가 담보로 적절하게 뒷받침되도록 합니다.
DeFi 커뮤니티: 윤리적 해커가 악용으로 인해 Curve Finance를 위해 5.4만 달러를 회수합니다.
위기 동안 DeFi 커뮤니티는 Curve Finance를 지지했습니다. 31월 XNUMX일, 화이트햇 해커 약 2,879 Ether를 회수했습니다. 착취자로부터 약 5.4만 달러 상당의 가치가 있으며 ETH를 Curve Finance에 반환했습니다. 몇 시간 후, 또 다른 윤리적 해커가 거의 3,000 ETH를 압수하고 ETH를 Curve의 배포자 주소로 반환했습니다.
Egorov의 대출을 둘러싼 청산의 두려움 속에서 Huobi의 공동 설립자인 Jun Du는 천만 CRV 구매 Curve의 CEO로부터 4만 달러에. 또한 Aave Chan 설립자 Marc Zeller Aave Treasury가 2만 달러를 매입할 것을 제안했습니다. 프로토콜의 CRV 토큰 가치. 제안에 따르면 인수는 DeFi 플레이어가 생태계의 건강을 지원한다는 신호입니다.
crvUSD는 어떻습니까? 가격은 쇼크 이벤트에 어떻게 반응합니까?
최근의 이벤트는 어떤 의미에서 SVB/USDC 상황과 유사하게 느껴졌습니다. 그러나 crvUSD는 0.35% 하락에 그쳤고 현재 페그에서 0.1% 하락했습니다. pic.twitter.com/HaMfbkiFSR
— 커브 파이낸스(@CurveFinance) 2023 년 8 월 3 일
크로스체인 대출 플랫폼 Abracadabra Money 또한 금리 인상 제안 CRV에 대한 노출과 관련된 위험을 관리하기 위한 미지급 대출금.
자금 회수: Curve, Metronome 및 Alchemix는 10%의 버그 포상금을 제공합니다. 해커가 가져간다
3월 10일, Curve, Metronome 및 Alchemix는 최근 Curve 풀의 악용에서 도난당한 자금을 회수하기 위한 이니셔티브를 공동으로 발표했습니다. 프로토콜은 포상금으로 압수된 자금의 90%를 현상금으로 제공했으며 익스플로잇에 책임이 있는 사람들에게 앞으로 나아가 나머지 7%를 반환하도록 촉구했습니다. 그러면 현상금은 XNUMX만 달러에 가까워질 것입니다.
이 제안은 더 이상의 법적 조치나 법 집행 기관의 개입이 없다는 보장과 함께 제공되었습니다. "우리는 문명화된 방식으로 이 문제를 해결하고 싶습니다."라고 프로토콜은 해커에게 썼습니다.
24시간도 채 되지 않은 4월 4,820.55일, 수백만 달러 규모의 익스플로잇 공격자는 분명히 현상금 제안을 수락하고 며칠 전에 훔친 자금을 반환하기 시작했습니다. 해커는 약 $8,889,118 상당의 1 Alchemix ETH(alETH)를 Alchemix Finance 팀에, Curve Finance 팀에 1,844 ETH, 약 $XNUMX를 돌려 보냈습니다.
공격자는 또한 Alchemix 및 Curve 팀을 향한 것으로 보이는 메시지를 게시했습니다. 이 메시지는 자금을 반환할 의향이 있다고 주장하지만 해당 사람이 관련된 프로젝트를 "파괴"하고 싶지 않았기 때문에 공격자가 잡혔기 때문이 아닙니다. .
작성 시점에 총 8.9만 달러 상당의 암호화폐가 반환되었으며, 이는 유출된 총 금액의 약 15%에 해당합니다.
추가 보고: Amaka Nwaokocha, Ezra Reguerra, Martin Young, Nivesh Rustgi, Prashant Jha, Tom Blackstone, Zhiyuan Sun.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 자동차 / EV, 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- BlockOffsets. 환경 오프셋 소유권 현대화. 여기에서 액세스하십시오.
- 출처: https://cointelegraph.com/news/curve-vyper-exploit-whole-story-so-far
