Curve Фінанси втратив 50 мільйонів доларів, тоді як токен CRV впав на 12% через останній експлойт DeFi

Curve, стейблкоїн-обмінник, що лежить в основі децентралізованих Фінанси (DeFi) на Ethereum, став жертвою експлойту згідно з твіт від проекту.

Curve покладається на смарт-контракти замість посередників, щоб пропонувати користувачам такі фінансові послуги, як запозичення стейблкойнів, торгівля та кредитування. Вкладники на Curve отримують річну прибутковість до 4% від ONE з багатьох пулів на платформі.

Криптовалюта на суму понад 100 мільйонів доларів під загрозою через помилку «повторного входу» у Vyper, мові програмування, яка використовується для роботи частин системи Curve. Кілька пулів стейблкойнів на платформі, які використовуються для ціноутворення та ліквідності в ряді різних сервісів DeFi, наразі були вичерпані хакерами.

«Внаслідок проблеми в компіляторі Vyper у версіях 0.2.15-0.3.0 наступні пули були зламані: CRV/ ETH, aleth/ ETH, mseth/ ETH, peth/ ETH», — написав Curve у понеділок.

Повторне входження — це поширена помилка, яка дозволяє зловмисникам обманювати смарт-контракт, роблячи повторні виклики протоколу з метою викрадення активів. Дзвінок — це авторизація адреси смарт-контракту для взаємодії з адресою гаманця користувача.

Інші проекти, які використовують мову програмування Vyper, можуть мати ту саму вразливість.

На час преси було незрозуміло, скільки було злито з Curve в результаті атаки. BlockSec, аудиторська фірма блокчейну, оцінила загальні збитки понад 42 мільйони доларів у попередньому аналізі, опублікованому в Twitter. Тарун Чітра, головний виконавчий директор і засновник компанії з моделювання Крипто ризиків Gauntlet, підрахував, що експлуататор вкрав близько 20 мільйонів доларів CRV і версію ефіру.

Відповідно до веб-сайту Curve керує 232 різними пулами, але під загрозою знаходяться лише пули, які використовують Vyper версій 0.2.15, 0.2.16 і 0.3.0, сказав мімаклас, член команди в оголошенні Discord.

Мімаклас також сказав, що «всі постраждалі пули були осушені або зламані, і команда оцінює ситуацію з постраждалими командами».

В іншому місці протокол позичання та запозичення Aave вимкнув свою функцію запозичення CRV на тлі паніки. Величезний борг CRV у розмірі 100 мільйонів доларів від засновника Curve Майкла Єгорова на Aave наближається до ліквідації - і якщо ціни на CRV продовжуватимуть зростати та досягнуть порогу ліквідації, протоколи повинні будуть ліквідувати позиції CRV .

Whitehat надсилає кошти; Мийки CRV

Curve Фінанси вдалося повернути частину грошей завдяки оператору-боту c0ffeebabe. ETH' повертає на платформу 2879 ETH, вартістю майже 5,5 мільйонів доларів за поточними цінами. Ці кошти були етично вкрадені у хакера шляхом ініціації їх зловмисної транзакції.

Пограбування дестабілізувало торгові Ринки рідного токена CRV Curve DAO, який на момент публікації впав на 17% за ціною 0,61 долара США. Ця цінова дія загрожувала Compound хаос, потенційно змусивши ліквідувати позицію засновника Curve на 70 мільйонів доларів на Aave.

Тим часом, згідно з даними постачальника даних DeFiLlama, загальна вартість активів, заблокованих на Curve, у понеділок різко впала до 1,7 мільярда доларів з понад 3 мільярдів доларів у неділю, оскільки капітал інвесторів, ймовірно, покинув біржу.

ОНОВЛЕННЯ (30 липня 2023 р., 21:25 UTC): Додає додаткову інформацію.

ОНОВЛЕННЯ (30 липня 2023 р., 09:30 UTC): Оновлення з останніми коментарями від Curve, впливом зараження на Aave, падінням значення Curve DeFi та поясненням атаки повторного входу.