Curve-Vyper эксплуатация Вся история до сих пор
Curve-Vyper эксплуатация история
Экосистема децентрализованных финансов (DeFi) пережила непростую неделю после серьезного случая нарушения безопасности, в результате которого из пулов Curve Finance было похищено более 61 миллиона долларов, что привело к риску распространения заразы на несколько протоколов.
Эта атака выявила уязвимости в проектах DeFi и стимулировала усилия по восстановлению похищенных средств за последние несколько дней.
Пока сообщество преодолевает последствия этой атаки, Cointelegraph подготовил сводку событий недели, представляя хронологию произошедшего с момента взлома 30 июля.
Взлом: пулы Curve Finance использовались для кражи более 61 миллиона долларов из-за уязвимости рекурсивного вызова
Несколько стабильных пулов на Curve Finance, использующих язык программирования Vyper, были взломаны 30 июля, и убытки составили более 61 миллиона долларов (изначально общие убытки оценивались в 47 миллионов долларов). Уязвимость была обнаружена в версиях Vyper 0.2.15, 0.2.16 и 0.3.0.
- Хакер Curve возвращает часть украденных активов
- Риск экспозиции CRV бросает вызов экосистеме DeFi Финансы в новом обличии
- Сегодня в мире криптовалюты Банк России представляет официальный логотип ЦБДЦ, Revolut закрывает криптоплатформу для своих клиентов из США, Министерство юстиции США просит отозвать залог Сэма Бэнкман-Фрида и задержать подсудимого.
Атака затронула несколько проектов DeFi. Децентрализованная биржа (DEX) Ellipsis сообщила, что небольшое количество стабильных пулов с BNB (BNB) были взломаны с использованием старого компилятора Vyper. Alchemix’s alETH-ETH также столкнулся с оттоком средств в размере 13,6 миллиона долларов из-за атаки, а также JPEGd’s pETH-ETH пул и пул sETH-ETH от Metronome были взломаны на сумму 11,4 миллиона и 1,6 миллиона долларов соответственно. Генеральный директор Curve Finance Майкл Эгоров также подтвердил, что из пула обмена было выведено 32 миллиона токенов Curve DAO (CRV) на сумму более 22 миллионов долларов.

Также жертвой атаки из-за этой же уязвимости стала Binance Smart Chain (BSC), где было похищено около 73 000 долларов цифровых активов на BSC в результате трех атак.
С момента обнаружения атаки белые и черные хакеры сражаются на блокчейне, пытаясь помешать друг другу в попытках взлома или восстановления средств.
Предварительные исследования показали, что некоторые версии компилятора Vyper неправильно реализовывали защиту от рекурсивного вызова, что препятствует одновременному выполнению нескольких функций путем блокировки контракта.
Влияние: уязвимость Vyper подвергает экосистему DeFi стресс-тестам; цена CRV падает
Этот случай нарушения безопасности подверг экосистему DeFi стресс-тестам в последующие дни, вызывая беспокойство относительно влияния атаки на криптоэкосистему, особенно в связи с тем, что уязвимость может поставить под угрозу все пулы с Wrapped Ether (WETH).
Vyper – это язык программирования контрактов, разработанный для Ethereum Virtual Machine. Он считается одним из самых широко используемых языков программирования Web3, что означает, что уязвимость в трех его версиях может угрожать нескольким другим протоколам.
Атака также привела к появлению одного из крупнейших блоков награды за максимально извлекаемую стоимость (MEV) в размере 584,05 Ether (ETH). Согласно информации от разработчика Ethereum “eric.eth”, бот заметил входящую атаку в пул необработанных транзакций и повторил ее, опередив ее. “Для этого они платят производителю блока большое количество ETH, чтобы быть первыми в очереди”, – пояснил он. Боты MEV могут видеть ожидающие транзакции по ликвидации и опережать их, чтобы первыми купить ликвидируемые активы со скидкой.
Сегодня были созданы некоторые из самых крупных блоков награды MEV в истории Ethereum. Слот 6,992,273: 584 ETHСлот 6,993,342: 345 ETHСлот 6,992,050: 247 ETHСлот 6,993,346: 51 ETH
— eric.eth (@econoar) 30 июля 2023
Генеральный директор Curve стремится погасить заложенные кредиты
Угрозы в других местах также могут вызвать последствия для DeFi. Основатель Curve Finance Майкл Эгоров имел заложенные кредиты на сумму около 100 миллионов долларов, обеспеченные 47% обращающегося предложения нативного токена протокола CRV.
Однако цена CRV упала почти на 30% после взлома, упав до минимума в $0.48 из-за опасений, что обеспеченные займы Егорова будут ликвидированы.
Для сокращения своей долговой позиции Егоров продал 39,25 миллиона токенов CRV нескольким заметным инвесторам DeFi, включая Джастина Сана, Мачи Биг Бразера и DWF Labs, всего за $15,8 млн. Покупатели приобрели CRV по цене $0,40 за токен, что на 25% ниже рыночной цены на тот момент. Кроме того, Егоров частично погасил два займа в Aave и Frax Finance.
Подача цены CEX предотвращает обвал цены Curve
Цена токена CRV обвалилась на рынке DeFi из-за значительного истощения нескольких пулов, однако в итоге она была спасена централизованной биржей (CEX). Цена CRV достигла отметки $0,086 на DEX, но торговалась по цене $0,60 на CEX, предотвращая обвал цены токена до нуля.
Ироничный случай привлек внимание генерального директора Binance Чанпенга Чжао, который посмеялся над тем, что в конце концов именно подача цены CEX спасла протокол DeFi.
Реагируя на неопределенную обстановку, собственная стабильная монета Curve, crvUSD, на короткое время отклонилась от привязки к доллару США 3 августа. Алгоритмическая стабильная монета упала на 0,35% перед восстановлением своей привязки к доллару США. Недавно запущенный crvUSD использует механизм поддержания своей привязки, называемый алгоритмом PegKeeper, который обеспечивает правильное обеспечение стоимости crvUSD залогом при балансировке спроса и предложения.
Сообщество DeFi: Этический хакер извлекает $5,4 млн для Curve Finance во время эксплойта
Во время кризиса сообщество DeFi поддержало Curve Finance. 31 июля белый хакер смог извлечь около 2 879 эфиров, стоимостью около $5,4 млн, у эксплойтера и вернул ETH Curve Finance. Часы спустя другой этический хакер изъял почти 3 000 ETH и вернул ETH на адрес развертки Curve.
Во время опасений о ликвидации займов Егорова основатель Huobi Джун Ду приобрел 10 миллионов CRV за $4 млн у генерального директора Curve. Кроме того, основатель Aave Chan Марк Зеллер предложил Аave Treasury купить CRV-токены на $2 млн из протокола. Согласно предложению, это приобретение будет сигналом того, что игроки DeFi поддерживают здоровье экосистемы.
Что насчет crvUSD? Как реагирует его цена на шоковые события, отклоняется ли он от привязки? События последних дней похожи на ситуацию с SVB/USDC в некотором смысле. Однако crvUSD испытал лишь снижение в 0,35% и в настоящее время находится на 0,1% от привязки pic.twitter.com/HaMfbkiFSR
— Curve Finance (@CurveFinance) 3 августа 2023 года
Платформа кросс-чейн-займов Abracadabra Money также предложила повысить процентную ставку по своим невыплаченным займам для управления рисками, связанными с ее экспозицией по CRV.
Возврат средств: Curve, Metronome и Alchemix предлагают 10% вознаграждение за уязвимость; хакер принимает его
3 августа Curve, Metronome и Alchemix совместно объявили о начинании по восстановлению украденных средств из недавних эксплойтов пулов Curve. Протоколы предложили вознаграждение в размере 10% от изъятых средств в качестве награды, призывая ответственных за эксплойт лиц выйти на связь и вернуть оставшиеся 90%, что привело бы вознаграждение к сумме близкой к $7 млн.
Предложение сопровождалось гарантией отсутствия дальнейших правовых действий или вовлечения правоохранительных органов. “Мы хотим решить это гражданским путем”, – написали протоколы хакеру.
Менее чем через 24 часа, 4 августа, оригинальный атакующий с многомиллионным эксплойтом, по-видимому, принял приемлемость предложения о вознаграждении и начал возвращать украденные несколько дней назад средства. Хакер вернул 4 820,55 Alchemix ETH (alETH), стоимостью примерно $8 889 118, команде Alchemix Finance, а также 1 ETH, примерно $1 844, команде Curve Finance.
Атакующий также отправил сообщение, которое, кажется, было адресовано командам Alchemix и Curve, заявляя, что готов вернуть средства, но только потому, что человек не хотел “портить” затронутые проекты, а не потому, что атакующего поймали.

На момент написания этого сообщения было возвращено общая сумма криптовалюты в размере 8,9 миллиона долларов, что составляет примерно 15% от общей суммы изъятых средств.
We will continue to update BiLee; if you have any questions or suggestions, please contact us!
Was this article helpful?
93 out of 132 found this helpful
Related articles
- Оманский финансовый регулятор просит отзывы по предложенной системе виртуальных активов
- Curve впечатляюще растет на 22%, поскольку основатель продает CRV для погашения займа Aave
- Сенсационное X от Элона Маска запустит торговое приложение, и Dogecoin сыграет свою роль?
- Попытки Shiba Inu в сфере DeFi могут потрясти рынок DOGE, поскольку SHIB обращается к цифровым идентификаторам
- Как повлияет половина выработки биткоина на цену BTC, и жив ли DeFi?
- Base запускает пользовательский интерфейс моста главной сети для конечных пользователей, назначает 9 августа для официального запуска.
- Смелый шаг абракадабры предложение 200% годовых по кредиту на $18 миллионов основателю Curve в связи с опасениями по поводу плохих долгов