Zephyrnet-logo

Generatieve data-intelligentie

Blockchain

Curve-Vyper-exploit: het hele verhaal tot nu toe

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 75

Het decentralized finance (DeFi) ecosysteem heeft een uitdagende week achter de rug nadat een seismisch beveiligingsincident leidde tot de diefstal van meer dan $61 miljoen uit de pools van Curve Finance, waardoor verschillende protocollen met bredere besmettingsrisico's werden geconfronteerd.

Deze aanval bracht kwetsbaarheden in DeFi-projecten aan het licht en leidde de afgelopen dagen tot pogingen om gestolen geld terug te vorderen.

Terwijl de gemeenschap door de nasleep van deze exploit navigeert, verzamelde Cointelegraph de gebeurtenissen van de week en presenteerde een tijdlijn van wat er sinds de hack op 30 juli is gebeurd.

De hack: Curve Finance-pools worden voor meer dan $ 61 miljoen misbruikt vanwege een kwetsbaarheid voor herintreding

Verschillende stabiele pools op Curve Finance met behulp van de Vyper-programmeertaal werden op 30 juli misbruikt, met verliezen tot meer dan $ 61 miljoen (totale verliezen waren aanvankelijk geschat op $ 47 miljoen). De kwetsbaarheid werd gevonden in Vyper's versies 0.2.15, 0.2.16 en 0.3.0.

Verschillende DeFi-projecten werden getroffen door de aanval. Gedecentraliseerde uitwisseling (DEX) Ellipsis meldde dat een klein aantal stabiele pools met BNB (BNB) werden uitgebuit met behulp van een oude Vyper-compiler. Alchemix's alETH-ETH was ook getuige van een uitstroom van $ 13.6 miljoen als gevolg van de aanval, samen met $ 11.4 miljoen misbruik van de pETH-ETH-pool van JPEGd en $ 1.6 miljoen van de sETH-ETH-pool van Metronome. Ook Michael Egorov, CEO van Curve Finance bevestigd dat 32 miljoen Curve DAO (CRV) tokens ter waarde van meer dan $22 miljoen uit de swappool waren gehaald.

Michael Egorov van Curve bevestigde de diefstal van 32 miljoen Curve DAO-tokens op 30 juli. Bron: Telegram/LobsterDAO

De BNB Smart Chain (BSC) was ook het slachtoffer van copycat-aanvallen vanwege dezelfde kwetsbaarheid, waarbij ongeveer $ 73,000 aan cryptocurrencies op BSC werden gestolen, verdeeld over drie exploits.

Sinds het nieuws over de exploit uitbrak, hebben white hat- en black hat-hackers het on-chain uitgevochten, in een poging elkaars exploitpogingen of pogingen om geld terug te vorderen te verstoren.

Uit voorbereidend onderzoek bleek dat sommige versies van de Vyper-compiler de instapbeveiliging niet correct implementeerden, die verhindert dat meerdere functies tegelijkertijd worden uitgevoerd door een contract te vergrendelen.

De impact: de kwetsbaarheid van Vyper stelt het DeFi-ecosysteem bloot aan stresstests; CRV-prijs keldert

Het veiligheidsincident stelde DeFi-protocollen bloot aan een stresstest in de dagen erna zorgden over de impact van de exploit op het crypto-ecosysteem, met name omdat de kwetsbaarheid alle pools met Verpakte ether (WETH) gevaar lopen om aangevallen te worden.

Vyper is een contractprogrammeertaal die is ontworpen voor de Ethereum Virtual Machine. Het wordt beschouwd als een van de meest gebruikte Web3-programmeertalen, wat betekent dat de bug in drie van zijn versies verschillende andere protocollen kan bedreigen.

Het exploit ook geleid tot een van de grootste ooit maximale extraheerbare waarde (MEV) beloningsblokken van 584.05 Ether (ETH). Volgens Ethereum-kernontwikkelaar "eric.eth", merkte de bot een inkomende hack in de mempool op, reproduceerde de transactie en voerde deze uit. "Om dit te doen, betalen ze de blokproducent veel ETH om voorop te lopen", legde hij uit. MEV-bots kunnen lopende liquidatietransacties zien en deze vooraf uitvoeren om de geliquideerde activa eerst met korting te kopen.

De CEO van Curve haast zich om leningen met onderpand te betalen

Bedreigingen elders kunnen ook rimpeleffecten veroorzaken in DeFi. Curve Finance-oprichter Michaël Egorov had ongeveer $ 100 miljoen aan leningen ondersteund door 47% van de circulerende voorraad van het oorspronkelijke token van het protocol, CRV.

De CRV-prijs daalde echter met bijna 30% na de hack en daalde tot een dieptepunt van $ 0.48 uit vrees dat Egorovs leningen met onderpand zouden worden geliquideerd.

Om zijn schuldpositie te verminderen, Egorov 39.25 miljoen CRV-tokens verkocht aan verschillende opmerkelijke DeFi-investeerders, waaronder Justin Sun, Machi Big Brother en DWF Labs, voor een totaal van $ 15.8 miljoen. De kopers kochten CRV voor $ 0.40 per token, een korting van 25% op de marktprijs op dat moment. Bovendien verrichtte Egorov gedeeltelijke aflossingen op twee leningen op Aave en Frax Finance.

CEX-prijsfeed voorkomt dat de Curve-prijs instort

De CRV-tokenprijs stortte in op de DeFi-markt als gevolg van de aanzienlijke leegloop van verschillende pools; het werd uiteindelijk echter gered door de prijsfeed van de gecentraliseerde beurs (CEX). De CRV-prijs bereikte $ 0.086 op DEX's, maar werd verhandeld tegen $ 0.60 op CEX's, waardoor werd voorkomen dat de prijs van het token instortte tot nul. 

Het ironische incident trok de aandacht van Binance CEO Changpeng Zhao, die grinnikte om het feit dat het uiteindelijk een CEX-prijsfeed was die het DeFi-protocol redde.

Ook reagerend op een onzekere omgeving, Curve's native stablecoin, crvUSD, kort gedepegd op 3 augustus. De algoritmische stablecoin daalde met maar liefst 0.35% voordat hij zijn koppeling aan de Amerikaanse dollar terugkreeg. Onlangs gelanceerd, gebruikt crvUSD een mechanisme voor het handhaven van zijn peg genaamd het PegKeeper-algoritme, dat ervoor zorgt dat de crvUSD-waarde correct wordt ondersteund door onderpand terwijl vraag en aanbod in evenwicht worden gehouden.

DeFi-gemeenschap: Ethische hacker haalt $ 5.4 miljoen op voor Curve Finance te midden van misbruik

Tijdens de crisis stond de DeFi-gemeenschap achter Curve Finance. Op 31 juli een white hat hacker erin geslaagd om ongeveer 2,879 Ether op te halen ter waarde van ongeveer $ 5.4 miljoen van een uitbuiter en gaf de ETH terug aan Curve Finance. Uren later nam een ​​andere ethische hacker bijna 3,000 ETH in beslag en stuurde de ETH terug naar het implementatieadres van Curve.

Temidden van de vrees voor liquidatie rond de leningen van Egorov, Jun Du, de mede-oprichter van Huobi, kocht 10 miljoen CRV voor $ 4 miljoen van de CEO van Curve. Daarnaast Aave Chan-oprichter Marc Zeller stelde voor dat de schatkist van Aave $ 2 miljoen zou kopen waarde aan CRV-tokens uit het protocol. Volgens het voorstel zou de overname een signaal zijn dat DeFi-spelers de gezondheid van het ecosysteem ondersteunen. 

Cross-chain uitleenplatform Abracadabra Money ook stelde voor om de rente te verhogen op haar uitstaande leningen om de risico's verbonden aan haar blootstelling aan CRV te beheersen. 

Het rendement van fondsen: Curve, Metronome en Alchemix bieden 10% bugbounty; hacker neemt het

Op 3 augustus kondigden Curve, Metronome en Alchemix gezamenlijk een initiatief aan om gestolen geld terug te vorderen van de recente exploits van Curve's pools. De protocollen boden een beloning van 10% van het in beslag genomen geld als beloning, waarbij degenen die verantwoordelijk waren voor de exploit werden aangespoord om naar voren te treden en de resterende 90% terug te geven, wat de premie bijna $ 7 miljoen zou opleveren.

Het aanbod kwam met de garantie dat er geen verdere juridische stappen of betrokkenheid van wetshandhavers zouden volgen. "We willen dit op een beschaafde manier oplossen", schreven de protocollen aan de hacker.

In minder dan 24 uur, op 4 augustus, accepteerde de oorspronkelijke aanvaller van de exploit van miljoenen dollars blijkbaar het premie-aanbod en begon hij een paar dagen eerder gestolen geld terug te geven. De hacker stuurde 4,820.55 Alchemix ETH (alETH), ter waarde van ongeveer $ 8,889,118, terug naar het Alchemix Finance-team, evenals 1 ETH, ongeveer $ 1,844, naar het Curve Finance-team.

De aanvaller plaatste ook een bericht dat gericht lijkt te zijn aan de Alchemix- en Curve-teams, waarin hij beweerde bereid te zijn het geld terug te geven, maar alleen omdat de persoon de betrokken projecten niet wilde "ruïneren" en niet omdat de aanvaller was betrapt. .

Bericht verzonden door de uitbuiter naar de protocollen op 4 augustus. Bron: Etherscan

Op het moment van schrijven is in totaal $ 8.9 miljoen aan cryptocurrency teruggegeven, gelijk aan ongeveer 15% van het totale bedrag dat is afgevoerd.

Aanvullende rapportage door Amaka Nwaokocha, Ezra Reguerra, Martin Young, Nivesh Rustgi, Prashant Jha, Tom Blackstone en Zhiyuan Sun.

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.