Logo Zephyrnet

Trí thông minh dữ liệu tạo

Chuỗi khối

Khai thác Curve-Vyper: Toàn bộ câu chuyện cho đến nay

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 75

Hệ sinh thái tài chính phi tập trung (DeFi) đã trải qua một tuần đầy thử thách sau sự cố an ninh địa chấn dẫn đến hơn 61 triệu đô la bị đánh cắp khỏi các nhóm của Curve Finance, khiến một số giao thức phải đối mặt với rủi ro lây lan rộng hơn.

Cuộc tấn công này đã làm lộ các lỗ hổng trên các dự án DeFi và gây ra nỗ lực thu hồi số tiền bị đánh cắp trong vài ngày qua.

Khi cộng đồng điều hướng hậu quả của việc khai thác này, Cointelegraph đã tổng hợp các sự kiện trong tuần, trình bày dòng thời gian về những gì đã xảy ra kể từ vụ hack vào ngày 30 tháng XNUMX.

Vụ hack: Nhóm Curve Finance bị khai thác với giá hơn 61 triệu đô la do lỗ hổng reentrancy

Một số pool ổn định trên Curve Finance sử dụng ngôn ngữ lập trình Vyper đã bị khai thác vào ngày 30 tháng 61, với khoản lỗ lên tới hơn XNUMX triệu USD (tổng thiệt hại là ước tính ban đầu là 47 triệu đô la). Lỗ hổng được tìm thấy trên các phiên bản 0.2.15, 0.2.16 và 0.3.0 của Vyper.

Một số dự án DeFi đã bị ảnh hưởng bởi cuộc tấn công. Sàn giao dịch phi tập trung (DEX) Ellipsis đã báo cáo rằng một số lượng nhỏ các nhóm ổn định với BNB (BNB) đã bị khai thác bằng trình biên dịch Vyper cũ. Alchemix's alETH-ETH cũng chứng kiến ​​13.6 triệu đô la bị rút ra do cuộc tấn công, cùng với 11.4 triệu đô la được khai thác trên nhóm pETH-ETH của JPEGd và 1.6 triệu đô la từ nhóm sETH-ETH của Metronome. Giám đốc điều hành Curve Finance Michael Egorov cũng xác nhận rằng 32 triệu mã thông báo Curve DAO (CRV) trị giá hơn 22 triệu đô la đã bị rút khỏi nhóm hoán đổi.

Michael Egorov của Curve đã xác nhận vụ đánh cắp 32 triệu mã thông báo Curve DAO vào ngày 30 tháng XNUMX. Nguồn: Telegram/LobsterDAO

Chuỗi thông minh BNB (BSC) cũng là nạn nhân của các cuộc tấn công bắt chước do cùng một lỗ hổng, với khoảng 73,000 đô la tiền điện tử trên BSC qua ba lần khai thác đã bị đánh cắp.

Kể từ khi tin tức về vụ khai thác được tung ra, các hacker mũ trắng và mũ đen đã lợi dụng nó trên chuỗi, cố gắng phá vỡ các nỗ lực khai thác hoặc nỗ lực thu hồi tiền của nhau.

Các cuộc điều tra sơ bộ đã phát hiện ra rằng một số phiên bản của trình biên dịch Vyper đã không triển khai chính xác trình bảo vệ vào lại, điều này ngăn nhiều chức năng được thực thi cùng một lúc bằng cách khóa hợp đồng.

Tác động: Lỗ hổng Vyper khiến hệ sinh thái DeFi phải đối mặt với các bài kiểm tra căng thẳng; CRV giảm giá mạnh

Sự cố an ninh các giao thức DeFi đã tiếp xúc với một bài kiểm tra căng thẳng trong những ngày tiếp theo, làm dấy lên mối lo ngại về tác động của việc khai thác đối với hệ sinh thái tiền điện tử — đặc biệt là vì lỗ hổng có thể khiến tất cả các nhóm bị Ether bọc (WETH) có nguy cơ bị tấn công.

Vyper là ngôn ngữ lập trình hợp đồng được thiết kế cho Máy ảo Ethereum. Nó được coi là một trong những ngôn ngữ lập trình Web3 được sử dụng rộng rãi nhất, có nghĩa là lỗi trong ba phiên bản của nó có thể đe dọa một số giao thức khác.

Việc khai thác cũng dẫn đến một trong những lớn nhất bao giờ hết khối phần thưởng giá trị có thể trích xuất tối đa (MEV) là 584.05 Ether (ETH). Theo nhà phát triển lõi Ethereum “eric.eth”, bot đã nhận thấy một vụ hack đang đến trong mempool, sao chép giao dịch và chạy trước nó. “Để làm như vậy, họ trả cho nhà sản xuất khối rất nhiều ETH để đứng đầu hàng,” anh ấy giải thích. Các bot MEV có thể thấy các giao dịch thanh lý đang chờ xử lý và chạy trước chúng để mua tài sản thanh lý trước với mức chiết khấu.

Giám đốc điều hành của Curve hối hả trả các khoản vay thế chấp

Các mối đe dọa ở những nơi khác cũng có thể gây ra hiệu ứng gợn trên DeFi. Nhà sáng lập Curve Finance Micheal Egorov có khoản vay khoảng 100 triệu đô la được hỗ trợ bởi 47% nguồn cung lưu hành của mã thông báo gốc của giao thức, CRV.

Tuy nhiên, giá CRV đã giảm gần 30% sau vụ hack, xuống mức thấp nhất là 0.48 đô la trong bối cảnh lo ngại rằng các khoản vay thế chấp của Egorov sẽ bị thanh lý.

Để giảm tình trạng nợ của mình, Egorov đã bán 39.25 triệu mã thông báo CRV cho một số nhà đầu tư DeFi đáng chú ý, bao gồm Justin Sun, Machi Big Brother và DWF Labs, với tổng số tiền là 15.8 triệu đô la. Người mua đã mua CRV với giá 0.40 đô la cho mỗi mã thông báo, giảm 25% so với giá thị trường vào thời điểm đó. Ngoài ra, Egorov đã thanh toán một phần hai khoản vay trên Aave và Frax Finance.

Nguồn cấp dữ liệu giá CEX ngăn giá Curve sụp đổ

Giá mã thông báo CRV đã giảm trên thị trường DeFi do một số nhóm cạn kiệt đáng kể; tuy nhiên, cuối cùng nó đã được cứu bởi nguồn cấp giá của sàn giao dịch tập trung (CEX). Giá CRV đạt 0.086 đô la trên DEX nhưng được giao dịch ở mức 0.60 đô la trên CEX, ngăn không cho giá của mã thông báo giảm xuống XNUMX. 

Sự cố trớ trêu đã thu hút sự chú ý của Giám đốc điều hành Binance Changpeng Zhao, người đã cười khúc khích khi biết rằng cuối cùng, chính nguồn cấp giá CEX đã cứu giao thức DeFi.

Cũng phản ứng với một môi trường không chắc chắn, stablecoin gốc của Curve, crvUSD, ngắn gọn giảm vào ngày 3 tháng XNUMX. Đồng tiền ổn định theo thuật toán đã giảm tới 0.35% trước khi lấy lại tỷ giá cố định của nó với đồng đô la Mỹ. Mới ra mắt gần đây, crvUSD sử dụng một cơ chế để duy trì chốt của nó được gọi là thuật toán PegKeeper, đảm bảo rằng giá trị crvUSD được hỗ trợ hợp lý bằng tài sản thế chấp trong khi cân bằng cung và cầu.

Cộng đồng DeFi: Hacker đạo đức lấy lại 5.4 triệu đô la cho Curve Finance trong bối cảnh khai thác

Trong cuộc khủng hoảng, cộng đồng DeFi đã đứng về phía Curve Finance. Vào ngày 31 tháng XNUMX, một hacker mũ trắng quản lý để lấy khoảng 2,879 Ether trị giá khoảng 5.4 triệu đô la từ một kẻ khai thác và trả lại ETH cho Curve Finance. Vài giờ sau, một hacker đạo đức khác đã thu giữ gần 3,000 ETH và trả lại ETH cho địa chỉ người triển khai của Curve.

Giữa những lo ngại về việc thanh lý xung quanh các khoản vay của Egorov, Jun Du, người đồng sáng lập Huobi, mua CRV 10 triệu với giá 4 triệu đô la từ Giám đốc điều hành của Curve. Ngoài ra, người sáng lập Aave Chan, Marc Zeller đề xuất Kho bạc Aave mua 2 triệu đô la giá trị của mã thông báo CRV từ giao thức. Theo đề xuất, việc mua lại sẽ báo hiệu rằng những người chơi DeFi hỗ trợ sức khỏe của hệ sinh thái. 

Nền tảng cho vay chuỗi chéo Abracadabra Money cũng đề xuất tăng lãi suất trên dư nợ cho vay để quản lý rủi ro liên quan đến việc tiếp xúc với CRV. 

Trả lại tiền: Curve, Metronome và Alchemix cung cấp 10% tiền thưởng lỗi; tin tặc lấy nó

Vào ngày 3 tháng 10, Curve, Metronome và Alchemix đã cùng nhau công bố một sáng kiến ​​nhằm thu hồi số tiền bị đánh cắp từ các hoạt động khai thác gần đây của các nhóm của Curve. Các giao thức cung cấp 90% tiền thưởng của số tiền bị tịch thu như một phần thưởng, thúc giục những người chịu trách nhiệm khai thác bước tiếp và trả lại 7% còn lại, điều này sẽ mang lại số tiền thưởng gần XNUMX triệu đô la.

Lời đề nghị đi kèm với sự đảm bảo không có thêm hành động pháp lý hoặc sự tham gia của cơ quan thực thi pháp luật. “Chúng tôi muốn giải quyết vấn đề này một cách văn minh,” các giao thức viết cho hacker.

Trong vòng chưa đầy 24 giờ, vào ngày 4 tháng 4,820.55, kẻ tấn công ban đầu cho vụ khai thác trị giá hàng triệu đô la dường như đã chấp nhận đề nghị tiền thưởng và bắt đầu trả lại số tiền bị đánh cắp vài ngày trước đó. Tin tặc đã gửi lại 8,889,118 Alchemix ETH (alETH), trị giá khoảng 1 USD, cho nhóm Alchemix Finance, cũng như 1,844 ETH, khoảng XNUMX USD, cho nhóm Curve Finance.

Kẻ tấn công cũng đã đăng một thông báo dường như nhắm vào nhóm Alchemix và Curve, tuyên bố sẵn sàng trả lại tiền nhưng chỉ vì người đó không muốn “làm hỏng” các dự án liên quan chứ không phải vì kẻ tấn công đã bị bắt .

Tin nhắn được gửi bởi kẻ khai thác tới các giao thức vào ngày 4 tháng XNUMX. Nguồn: Etherscan

Tổng số tiền điện tử trị giá 8.9 triệu đô la đã được trả lại tại thời điểm viết bài, tương đương với khoảng 15% tổng số tiền đã rút.

Báo cáo bổ sung của Amaka Nwaokocha, Ezra Reguerra, Martin Young, Nivesh Rustgi, Prashant Jha, Tom Blackstone và Zhiyuan Sun.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.