Curve-Vyper эксплуатация Вся история до сих пор

Curve-Vyper эксплуатация история

Экосистема децентрализованных финансов (DeFi) пережила непростую неделю после серьезного случая нарушения безопасности, в результате которого из пулов Curve Finance было похищено более 61 миллиона долларов, что привело к риску распространения заразы на несколько протоколов.

Эта атака выявила уязвимости в проектах DeFi и стимулировала усилия по восстановлению похищенных средств за последние несколько дней.

Пока сообщество преодолевает последствия этой атаки, Cointelegraph подготовил сводку событий недели, представляя хронологию произошедшего с момента взлома 30 июля.

Взлом: пулы Curve Finance использовались для кражи более 61 миллиона долларов из-за уязвимости рекурсивного вызова

Несколько стабильных пулов на Curve Finance, использующих язык программирования Vyper, были взломаны 30 июля, и убытки составили более 61 миллиона долларов (изначально общие убытки оценивались в 47 миллионов долларов). Уязвимость была обнаружена в версиях Vyper 0.2.15, 0.2.16 и 0.3.0.

Атака затронула несколько проектов DeFi. Децентрализованная биржа (DEX) Ellipsis сообщила, что небольшое количество стабильных пулов с BNB (BNB) были взломаны с использованием старого компилятора Vyper. Alchemix’s alETH-ETH также столкнулся с оттоком средств в размере 13,6 миллиона долларов из-за атаки, а также JPEGd’s pETH-ETH пул и пул sETH-ETH от Metronome были взломаны на сумму 11,4 миллиона и 1,6 миллиона долларов соответственно. Генеральный директор Curve Finance Майкл Эгоров также подтвердил, что из пула обмена было выведено 32 миллиона токенов Curve DAO (CRV) на сумму более 22 миллионов долларов.

Майкл Эгоров из Curve подтвердил кражу 32 миллионов токенов Curve DAO 30 июля. Источник: Telegram/LobsterDAO

Также жертвой атаки из-за этой же уязвимости стала Binance Smart Chain (BSC), где было похищено около 73 000 долларов цифровых активов на BSC в результате трех атак.

С момента обнаружения атаки белые и черные хакеры сражаются на блокчейне, пытаясь помешать друг другу в попытках взлома или восстановления средств.

Предварительные исследования показали, что некоторые версии компилятора Vyper неправильно реализовывали защиту от рекурсивного вызова, что препятствует одновременному выполнению нескольких функций путем блокировки контракта.

Влияние: уязвимость Vyper подвергает экосистему DeFi стресс-тестам; цена CRV падает

Этот случай нарушения безопасности подверг экосистему DeFi стресс-тестам в последующие дни, вызывая беспокойство относительно влияния атаки на криптоэкосистему, особенно в связи с тем, что уязвимость может поставить под угрозу все пулы с Wrapped Ether (WETH).

Vyper – это язык программирования контрактов, разработанный для Ethereum Virtual Machine. Он считается одним из самых широко используемых языков программирования Web3, что означает, что уязвимость в трех его версиях может угрожать нескольким другим протоколам.

Атака также привела к появлению одного из крупнейших блоков награды за максимально извлекаемую стоимость (MEV) в размере 584,05 Ether (ETH). Согласно информации от разработчика Ethereum “eric.eth”, бот заметил входящую атаку в пул необработанных транзакций и повторил ее, опередив ее. “Для этого они платят производителю блока большое количество ETH, чтобы быть первыми в очереди”, – пояснил он. Боты MEV могут видеть ожидающие транзакции по ликвидации и опережать их, чтобы первыми купить ликвидируемые активы со скидкой.

Сегодня были созданы некоторые из самых крупных блоков награды MEV в истории Ethereum. Слот 6,992,273: 584 ETHСлот 6,993,342: 345 ETHСлот 6,992,050: 247 ETHСлот 6,993,346: 51 ETH

— eric.eth (@econoar) 30 июля 2023

Генеральный директор Curve стремится погасить заложенные кредиты

Угрозы в других местах также могут вызвать последствия для DeFi. Основатель Curve Finance Майкл Эгоров имел заложенные кредиты на сумму около 100 миллионов долларов, обеспеченные 47% обращающегося предложения нативного токена протокола CRV.

Однако цена CRV упала почти на 30% после взлома, упав до минимума в $0.48 из-за опасений, что обеспеченные займы Егорова будут ликвидированы.

Для сокращения своей долговой позиции Егоров продал 39,25 миллиона токенов CRV нескольким заметным инвесторам DeFi, включая Джастина Сана, Мачи Биг Бразера и DWF Labs, всего за $15,8 млн. Покупатели приобрели CRV по цене $0,40 за токен, что на 25% ниже рыночной цены на тот момент. Кроме того, Егоров частично погасил два займа в Aave и Frax Finance.

Подача цены CEX предотвращает обвал цены Curve

Цена токена CRV обвалилась на рынке DeFi из-за значительного истощения нескольких пулов, однако в итоге она была спасена централизованной биржей (CEX). Цена CRV достигла отметки $0,086 на DEX, но торговалась по цене $0,60 на CEX, предотвращая обвал цены токена до нуля.

Ироничный случай привлек внимание генерального директора Binance Чанпенга Чжао, который посмеялся над тем, что в конце концов именно подача цены CEX спасла протокол DeFi.

Реагируя на неопределенную обстановку, собственная стабильная монета Curve, crvUSD, на короткое время отклонилась от привязки к доллару США 3 августа. Алгоритмическая стабильная монета упала на 0,35% перед восстановлением своей привязки к доллару США. Недавно запущенный crvUSD использует механизм поддержания своей привязки, называемый алгоритмом PegKeeper, который обеспечивает правильное обеспечение стоимости crvUSD залогом при балансировке спроса и предложения.

Сообщество DeFi: Этический хакер извлекает $5,4 млн для Curve Finance во время эксплойта

Во время кризиса сообщество DeFi поддержало Curve Finance. 31 июля белый хакер смог извлечь около 2 879 эфиров, стоимостью около $5,4 млн, у эксплойтера и вернул ETH Curve Finance. Часы спустя другой этический хакер изъял почти 3 000 ETH и вернул ETH на адрес развертки Curve.

Во время опасений о ликвидации займов Егорова основатель Huobi Джун Ду приобрел 10 миллионов CRV за $4 млн у генерального директора Curve. Кроме того, основатель Aave Chan Марк Зеллер предложил Аave Treasury купить CRV-токены на $2 млн из протокола. Согласно предложению, это приобретение будет сигналом того, что игроки DeFi поддерживают здоровье экосистемы.

Что насчет crvUSD? Как реагирует его цена на шоковые события, отклоняется ли он от привязки? События последних дней похожи на ситуацию с SVB/USDC в некотором смысле. Однако crvUSD испытал лишь снижение в 0,35% и в настоящее время находится на 0,1% от привязки pic.twitter.com/HaMfbkiFSR

— Curve Finance (@CurveFinance) 3 августа 2023 года

Платформа кросс-чейн-займов Abracadabra Money также предложила повысить процентную ставку по своим невыплаченным займам для управления рисками, связанными с ее экспозицией по CRV.

Возврат средств: Curve, Metronome и Alchemix предлагают 10% вознаграждение за уязвимость; хакер принимает его

3 августа Curve, Metronome и Alchemix совместно объявили о начинании по восстановлению украденных средств из недавних эксплойтов пулов Curve. Протоколы предложили вознаграждение в размере 10% от изъятых средств в качестве награды, призывая ответственных за эксплойт лиц выйти на связь и вернуть оставшиеся 90%, что привело бы вознаграждение к сумме близкой к $7 млн.

Предложение сопровождалось гарантией отсутствия дальнейших правовых действий или вовлечения правоохранительных органов. “Мы хотим решить это гражданским путем”, – написали протоколы хакеру.

Менее чем через 24 часа, 4 августа, оригинальный атакующий с многомиллионным эксплойтом, по-видимому, принял приемлемость предложения о вознаграждении и начал возвращать украденные несколько дней назад средства. Хакер вернул 4 820,55 Alchemix ETH (alETH), стоимостью примерно $8 889 118, команде Alchemix Finance, а также 1 ETH, примерно $1 844, команде Curve Finance.

Атакующий также отправил сообщение, которое, кажется, было адресовано командам Alchemix и Curve, заявляя, что готов вернуть средства, но только потому, что человек не хотел “портить” затронутые проекты, а не потому, что атакующего поймали.

Сообщение, отправленное эксплуататором протоколам 4 августа. Источник: Etherscan

На момент написания этого сообщения было возвращено общая сумма криптовалюты в размере 8,9 миллиона долларов, что составляет примерно 15% от общей суммы изъятых средств.

We will continue to update BiLee; if you have any questions or suggestions, please contact us!

Share:

Was this article helpful?

93 out of 132 found this helpful

Discover more

DeFi

Connext и Alchemix запускают стандарт кросс-цепочечного токена для снижения потерь от эксплуатации моста.

После потери более $100 миллионов в результате атаки Multichain, мостовые токены недавно стали подвергаться более при...

рынок

Данные о биткоине подчеркивают 3 ключевые причины, почему инвесторы не обращают внимания на цену BTC.

Хэшрейт, балансы кошельков и активность на криптовалютных биржах все указывают на то, что инвесторы имеют высокие ожи...

политика

Правительство США является одним из крупнейших держателей Bitcoin с более чем 5 миллиардами долларов в BTC сообщает отчет.

Захваченный актив не сразу принадлежит правительству, и Служба маршалов США получает право собственности на захваченн...

DeFi

Децентрализованная биржа Uniswap расширяется на биткойновую сайдчейн Rootstock

Версия 3 (v3) Uniswap была развернута на Rootstock командой GFX Labs, которая стоит за терминалом для торговли Oku.

политика

Округа США сотрудничают для продвижения принятия блокчейна и криптовалюты

Государственные организации помогают гарантировать создание политики, поддерживающей криптовалюты и блокчейн, для сти...

DeFi

Платформа разработки Bitcoin Tap Protocol получила 4,2 миллиона долларов финансирования

Разработчики платформы Tap Protocol, основанной на Bitcoin, собрали более 4 миллионов долларов в перепроданных инвест...