Curve-Vyper эксплуатация Вся история до сих пор

Curve-Vyper эксплуатация история

Экосистема децентрализованных финансов (DeFi) пережила непростую неделю после серьезного случая нарушения безопасности, в результате которого из пулов Curve Finance было похищено более 61 миллиона долларов, что привело к риску распространения заразы на несколько протоколов.

Эта атака выявила уязвимости в проектах DeFi и стимулировала усилия по восстановлению похищенных средств за последние несколько дней.

Пока сообщество преодолевает последствия этой атаки, Cointelegraph подготовил сводку событий недели, представляя хронологию произошедшего с момента взлома 30 июля.

Взлом: пулы Curve Finance использовались для кражи более 61 миллиона долларов из-за уязвимости рекурсивного вызова

Несколько стабильных пулов на Curve Finance, использующих язык программирования Vyper, были взломаны 30 июля, и убытки составили более 61 миллиона долларов (изначально общие убытки оценивались в 47 миллионов долларов). Уязвимость была обнаружена в версиях Vyper 0.2.15, 0.2.16 и 0.3.0.

Атака затронула несколько проектов DeFi. Децентрализованная биржа (DEX) Ellipsis сообщила, что небольшое количество стабильных пулов с BNB (BNB) были взломаны с использованием старого компилятора Vyper. Alchemix’s alETH-ETH также столкнулся с оттоком средств в размере 13,6 миллиона долларов из-за атаки, а также JPEGd’s pETH-ETH пул и пул sETH-ETH от Metronome были взломаны на сумму 11,4 миллиона и 1,6 миллиона долларов соответственно. Генеральный директор Curve Finance Майкл Эгоров также подтвердил, что из пула обмена было выведено 32 миллиона токенов Curve DAO (CRV) на сумму более 22 миллионов долларов.

Майкл Эгоров из Curve подтвердил кражу 32 миллионов токенов Curve DAO 30 июля. Источник: Telegram/LobsterDAO

Также жертвой атаки из-за этой же уязвимости стала Binance Smart Chain (BSC), где было похищено около 73 000 долларов цифровых активов на BSC в результате трех атак.

С момента обнаружения атаки белые и черные хакеры сражаются на блокчейне, пытаясь помешать друг другу в попытках взлома или восстановления средств.

Предварительные исследования показали, что некоторые версии компилятора Vyper неправильно реализовывали защиту от рекурсивного вызова, что препятствует одновременному выполнению нескольких функций путем блокировки контракта.

Влияние: уязвимость Vyper подвергает экосистему DeFi стресс-тестам; цена CRV падает

Этот случай нарушения безопасности подверг экосистему DeFi стресс-тестам в последующие дни, вызывая беспокойство относительно влияния атаки на криптоэкосистему, особенно в связи с тем, что уязвимость может поставить под угрозу все пулы с Wrapped Ether (WETH).

Vyper – это язык программирования контрактов, разработанный для Ethereum Virtual Machine. Он считается одним из самых широко используемых языков программирования Web3, что означает, что уязвимость в трех его версиях может угрожать нескольким другим протоколам.

Атака также привела к появлению одного из крупнейших блоков награды за максимально извлекаемую стоимость (MEV) в размере 584,05 Ether (ETH). Согласно информации от разработчика Ethereum “eric.eth”, бот заметил входящую атаку в пул необработанных транзакций и повторил ее, опередив ее. “Для этого они платят производителю блока большое количество ETH, чтобы быть первыми в очереди”, – пояснил он. Боты MEV могут видеть ожидающие транзакции по ликвидации и опережать их, чтобы первыми купить ликвидируемые активы со скидкой.

Сегодня были созданы некоторые из самых крупных блоков награды MEV в истории Ethereum. Слот 6,992,273: 584 ETHСлот 6,993,342: 345 ETHСлот 6,992,050: 247 ETHСлот 6,993,346: 51 ETH

— eric.eth (@econoar) 30 июля 2023

Генеральный директор Curve стремится погасить заложенные кредиты

Угрозы в других местах также могут вызвать последствия для DeFi. Основатель Curve Finance Майкл Эгоров имел заложенные кредиты на сумму около 100 миллионов долларов, обеспеченные 47% обращающегося предложения нативного токена протокола CRV.

Однако цена CRV упала почти на 30% после взлома, упав до минимума в $0.48 из-за опасений, что обеспеченные займы Егорова будут ликвидированы.

Для сокращения своей долговой позиции Егоров продал 39,25 миллиона токенов CRV нескольким заметным инвесторам DeFi, включая Джастина Сана, Мачи Биг Бразера и DWF Labs, всего за $15,8 млн. Покупатели приобрели CRV по цене $0,40 за токен, что на 25% ниже рыночной цены на тот момент. Кроме того, Егоров частично погасил два займа в Aave и Frax Finance.

Подача цены CEX предотвращает обвал цены Curve

Цена токена CRV обвалилась на рынке DeFi из-за значительного истощения нескольких пулов, однако в итоге она была спасена централизованной биржей (CEX). Цена CRV достигла отметки $0,086 на DEX, но торговалась по цене $0,60 на CEX, предотвращая обвал цены токена до нуля.

Ироничный случай привлек внимание генерального директора Binance Чанпенга Чжао, который посмеялся над тем, что в конце концов именно подача цены CEX спасла протокол DeFi.

Реагируя на неопределенную обстановку, собственная стабильная монета Curve, crvUSD, на короткое время отклонилась от привязки к доллару США 3 августа. Алгоритмическая стабильная монета упала на 0,35% перед восстановлением своей привязки к доллару США. Недавно запущенный crvUSD использует механизм поддержания своей привязки, называемый алгоритмом PegKeeper, который обеспечивает правильное обеспечение стоимости crvUSD залогом при балансировке спроса и предложения.

Сообщество DeFi: Этический хакер извлекает $5,4 млн для Curve Finance во время эксплойта

Во время кризиса сообщество DeFi поддержало Curve Finance. 31 июля белый хакер смог извлечь около 2 879 эфиров, стоимостью около $5,4 млн, у эксплойтера и вернул ETH Curve Finance. Часы спустя другой этический хакер изъял почти 3 000 ETH и вернул ETH на адрес развертки Curve.

Во время опасений о ликвидации займов Егорова основатель Huobi Джун Ду приобрел 10 миллионов CRV за $4 млн у генерального директора Curve. Кроме того, основатель Aave Chan Марк Зеллер предложил Аave Treasury купить CRV-токены на $2 млн из протокола. Согласно предложению, это приобретение будет сигналом того, что игроки DeFi поддерживают здоровье экосистемы.

Что насчет crvUSD? Как реагирует его цена на шоковые события, отклоняется ли он от привязки? События последних дней похожи на ситуацию с SVB/USDC в некотором смысле. Однако crvUSD испытал лишь снижение в 0,35% и в настоящее время находится на 0,1% от привязки pic.twitter.com/HaMfbkiFSR

— Curve Finance (@CurveFinance) 3 августа 2023 года

Платформа кросс-чейн-займов Abracadabra Money также предложила повысить процентную ставку по своим невыплаченным займам для управления рисками, связанными с ее экспозицией по CRV.

Возврат средств: Curve, Metronome и Alchemix предлагают 10% вознаграждение за уязвимость; хакер принимает его

3 августа Curve, Metronome и Alchemix совместно объявили о начинании по восстановлению украденных средств из недавних эксплойтов пулов Curve. Протоколы предложили вознаграждение в размере 10% от изъятых средств в качестве награды, призывая ответственных за эксплойт лиц выйти на связь и вернуть оставшиеся 90%, что привело бы вознаграждение к сумме близкой к $7 млн.

Предложение сопровождалось гарантией отсутствия дальнейших правовых действий или вовлечения правоохранительных органов. “Мы хотим решить это гражданским путем”, – написали протоколы хакеру.

Менее чем через 24 часа, 4 августа, оригинальный атакующий с многомиллионным эксплойтом, по-видимому, принял приемлемость предложения о вознаграждении и начал возвращать украденные несколько дней назад средства. Хакер вернул 4 820,55 Alchemix ETH (alETH), стоимостью примерно $8 889 118, команде Alchemix Finance, а также 1 ETH, примерно $1 844, команде Curve Finance.

Атакующий также отправил сообщение, которое, кажется, было адресовано командам Alchemix и Curve, заявляя, что готов вернуть средства, но только потому, что человек не хотел “портить” затронутые проекты, а не потому, что атакующего поймали.

Сообщение, отправленное эксплуататором протоколам 4 августа. Источник: Etherscan

На момент написания этого сообщения было возвращено общая сумма криптовалюты в размере 8,9 миллиона долларов, что составляет примерно 15% от общей суммы изъятых средств.

We will continue to update BiLee; if you have any questions or suggestions, please contact us!

Share:

Was this article helpful?

93 out of 132 found this helpful

Discover more

DeFi

DYdX запускает децентрализованную биржу с ордерным книгами на Cosmos KBW 2023.

Генеральный директор Фонда DYdX Шарль д'Осси пояснил, что стакан ордеров не будет храниться на блокчейне, а будет раз...

рынок

Цена биткоина поднимается до 31,8 тыс. долларов, но данные по деривативам указывают на преимущество медведей по отношению к BTC.

Цена биткоина только что достигла нового максимума года, но данные указывают на то, что ралли может быть ограничено и...

мнение

Насколько важно преимущество первого игрока для крипто-стейкинга?

Платформы, такие как Lido и Rocket Pool, являются пионерами на рынке стейкинга, но для достижения действительно децен...

биткоин

Деревня Протокол Beam запускается на Immutable zkEVM, L2 с фокусом на игровой инфраструктуре с использованием технологии Polygon

Последние обновления в области технологии блокчейн, объявления о финансировании и сделки. За период с 7 декабря по 13...

DeFi

Токен OPNX резко вырос на 50% после того, как Су Чжу неожиданно опубликовал 'gm' в Твиттере

Су Жу из OPNX впервые опубликовал сообщение после его задержания, и токен OX достиг 63-дневного максимума.

новости

Партнерство Программы развития Организации Объединенных Наций с Algorand для подготовки 22 000 сотрудников в области технологии блокчейн

Программа развития Объединенных наций (UNDP) сотрудничает с Фондом Алгоранд для запуска академии блокчейн с целью обу...