Logo Zephyrnet

Generatywna analiza danych

Blockchain

Exploit Curve-Vyper: jak dotąd cała historia

Opublikowane ponownie przez Plato
Opublikowane ponownie przez Plato

Data:

Odwiedzin: 75

Ekosystem zdecentralizowanych finansów (DeFi) przeżył trudny tydzień po incydencie sejsmicznym, który doprowadził do kradzieży ponad 61 milionów dolarów z puli Curve Finance, pozostawiając kilka protokołów narażonych na szersze ryzyko zarażenia.

Atak ten ujawnił luki w zabezpieczeniach projektów DeFi i zapoczątkował wysiłki w celu odzyskania skradzionych środków w ciągu ostatnich kilku dni.

Podczas gdy społeczność porusza się po następstwach tego exploita, Cointelegraph skompilował wydarzenia tygodnia, przedstawiając harmonogram tego, co wydarzyło się od czasu włamania 30 lipca.

Hack: pule Curve Finance są wykorzystywane za ponad 61 milionów dolarów z powodu luki w zabezpieczeniach ponownego wejścia

Kilka stabilnych pul na Curve Finance korzystających z języka programowania Vyper zostało wykorzystanych 30 lipca, przynosząc straty sięgające ponad 61 milionów USD (całkowite straty wyniosły wstępnie oszacowano na 47 milionów dolarów). Luka została odkryta w wersjach Vypera 0.2.15, 0.2.16 i 0.3.0.

Atak dotknął kilka projektów DeFi. Zdecentralizowana giełda (DEX) Ellipsis poinformowała, że ​​niewielka liczba stabilnych pul z BNB (BNB) zostały wykorzystane przy użyciu starego kompilatora Vyper. Alchemix alETH-ETH był również świadkiem odpływu 13.6 miliona dolarów w wyniku ataku, wraz z 11.4 miliona dolarów wykorzystanych w puli pETH-ETH JPEGd i 1.6 miliona dolarów z puli sETH-ETH Metronome. Dyrektor generalny Curve Finance, Michael Egorov, również Zatwierdzony że 32 miliony tokenów Curve DAO (CRV) o wartości ponad 22 milionów dolarów zostało usuniętych z puli wymiany.

Michael Egorov z Curve potwierdził kradzież 32 milionów tokenów Curve DAO 30 lipca. Źródło: Telegram/LobsterDAO

Inteligentny łańcuch BNB (BSC) był również ofiarą ataków naśladowców z powodu tej samej luki, z kradzieżą kryptowalut o wartości około 73,000 XNUMX USD na BSC w ramach trzech exploitów.

Odkąd pojawiły się wieści o exploicie, hakerzy z białymi i czarnymi kapeluszami walczą w łańcuchu, próbując zakłócać wzajemne próby wykorzystania exploitów lub próby odzyskania funduszy.

Wstępne dochodzenie wykazało, że niektóre wersje kompilatora Vypera nie zaimplementowały poprawnie ochrony ponownego wejścia, która uniemożliwia jednoczesne wykonywanie wielu funkcji poprzez blokowanie kontraktu.

Wpływ: luka Vyper naraża ekosystem DeFi na testy warunków skrajnych; Spadki cen CRV

Incydent bezpieczeństwa poddał protokoły DeFi testowi warunków skrajnych w kolejnych dniach, budząc obawy dotyczące wpływu exploita na ekosystem kryptograficzny — w szczególności dlatego, że luka może umieścić wszystkie pule z Owinięty eter (WETH) narażony na atak.

Vyper to kontraktowy język programowania przeznaczony dla maszyny wirtualnej Ethereum. Jest uważany za jeden z najczęściej używanych języków programowania Web3, co oznacza, że ​​błąd w trzech jego wersjach może zagrozić kilku innym protokołom.

Exploit również doprowadził do jednego z największych w historii bloki nagrody o maksymalnej możliwej do wydobycia wartości (MEV) o wartości 584.05 eteru (ETH.). Według głównego programisty Ethereum „eric.eth”, bot zauważył przychodzące włamanie do mempool, odtworzył transakcję i uruchomił ją. „Aby to zrobić, płacą producentowi bloku dużo ETH, aby być na czele kolejki” – wyjaśnił. Boty MEV widzą oczekujące transakcje likwidacyjne i uruchamiają je, aby najpierw kupić likwidowane aktywa ze zniżką.

Dyrektor generalny Curve spieszy się ze spłatą zabezpieczonych pożyczek

Zagrożenia w innych miejscach mogą również powodować falowanie w DeFi. Założyciel Curve Finance Michał Jegorow miał około 100 milionów dolarów pożyczek zabezpieczonych przez 47% krążącej podaży natywnego tokena protokołu, CRV.

Jednak cena CRV spadła o prawie 30% po włamaniu, spadając do najniższego poziomu 0.48 USD w związku z obawami, że zabezpieczone pożyczki Jegorowa zostaną zlikwidowane.

Aby zmniejszyć swoją pozycję zadłużenia, Jegorow sprzedał 39.25 mln tokenów CRV kilku znaczącym inwestorom DeFi, w tym Justinowi Sunowi, Machi Big Brother i DWF Labs, za łączną kwotę 15.8 miliona dolarów. Kupujący kupili CRV po 0.40 USD za token, co stanowi 25% zniżki w stosunku do ówczesnej ceny rynkowej. Ponadto Jegorow dokonał częściowych spłat dwóch pożyczek udzielonych Aave i Frax Finance.

Kanał cenowy CEX zapobiega załamaniu się ceny krzywej

Cena tokena CRV załamała się na rynku DeFi z powodu znacznego opróżnienia kilku pul; jednak ostatecznie został uratowany przez cennik scentralizowanej giełdy (CEX). Cena CRV osiągnęła 0.086 USD na DEX, ale była handlowana na poziomie 0.60 USD na CEX, zapobiegając spadkowi ceny tokena do zera. 

Ten ironiczny incydent zwrócił uwagę dyrektora generalnego Binance, Changpeng Zhao, który zachichotał z faktu, że ostatecznie to informacja cenowa CEX uratowała protokół DeFi.

Również krótko reagując na niepewne otoczenie, natywny stablecoin Curve, crvUSD oddelegowany 3 sierpnia. Algorytmiczny stablecoin spadł aż o 0.35%, zanim odzyskał powiązanie z dolarem amerykańskim. Niedawno uruchomiony crvUSD wykorzystuje mechanizm utrzymywania swojego powiązania zwany algorytmem PegKeeper, który zapewnia, że ​​wartość crvUSD jest odpowiednio zabezpieczona przy jednoczesnym zrównoważeniu podaży i popytu.

Społeczność DeFi: Etyczny haker odzyskuje 5.4 miliona dolarów dla Curve Finance wśród exploitów

W czasie kryzysu społeczność DeFi wspierała Curve Finance. 31 lipca haker w białym kapeluszu udało się odzyskać około 2,879 eterów wart około 5.4 miliona dolarów od wyzyskiwacza i zwrócił ETH firmie Curve Finance. Kilka godzin później inny etyczny haker przejął prawie 3,000 ETH i zwrócił ETH na adres dostawcy Curve.

Wśród obaw o likwidację pożyczek Jegorowa, Jun Du, współzałożyciel Huobi, kupił 10 milionów CRV za 4 miliony dolarów od CEO Curve. Dodatkowo założyciel Aave Chan, Marc Zeller zaproponował Aave Treasury kupić 2 miliony dolarów wartość tokenów CRV z protokołu. Zgodnie z propozycją przejęcie oznaczałoby, że gracze DeFi wspierają zdrowie ekosystemu. 

Platforma pożyczek międzyłańcuchowych Abracadabra Money również zaproponował podwyższenie stopy procentowej na swoich niespłaconych pożyczkach w celu zarządzania ryzykiem związanym z ekspozycją na CRV. 

Zwrot środków: Curve, Metronome i Alchemix oferujące 10% nagrody za błędy; haker bierze

3 sierpnia Curve, Metronome i Alchemix wspólnie ogłosili inicjatywę odzyskania skradzionych funduszy z niedawnych nadużyć puli Curve. Protokoły oferowały nagrodę w wysokości 10% przejętych środków, wzywając osoby odpowiedzialne za exploit do wystąpienia i zwrotu pozostałych 90%, co zbliżyłoby nagrodę do 7 milionów dolarów.

Oferta przyszła z gwarancją braku dalszych działań prawnych lub zaangażowania organów ścigania. „Chcemy rozwiązać ten problem w cywilizowany sposób” – napisano w protokołach do hakera.

W mniej niż 24 godziny, 4 sierpnia, pierwotny atakujący za wielomilionowy exploit najwyraźniej zaakceptował ofertę nagrody i zaczął zwracać fundusze skradzione kilka dni wcześniej. Haker odesłał 4,820.55 8,889,118 Alchemix ETH (alETH) o wartości około 1 1,844 XNUMX USD do zespołu Alchemix Finance, a także XNUMX ETH o wartości około XNUMX XNUMX USD do zespołu Curve Finance.

Atakujący opublikował również wiadomość, która wydaje się być skierowana do zespołów Alchemix i Curve, twierdząc, że jest skłonny zwrócić fundusze, ale tylko dlatego, że osoba ta nie chce „zrujnować” zaangażowanych projektów, a nie dlatego, że atakujący został złapany .

Wiadomość wysłana przez exploita do protokołów 4 sierpnia. Źródło: Etherscan

W chwili pisania tego tekstu zwrócono w sumie kryptowalutę o wartości 8.9 miliona dolarów, co stanowi około 15% całkowitej wypłaconej kwoty.

Dodatkowe relacje Amaki Nwaokocha, Ezry Reguerry, Martina Younga, Nivesha Rustgi, Prashanta Jha, Toma Blackstone'a i Zhiyuan Sun.

spot_img

Najnowsza inteligencja

spot_img

Prawa autorskie @ 2024 Plato Technologies Inc.