Curve Finance oplever hack og taber $45 millioner
På den 30. juli blev Curve Finance, en dezentraliseret Automated Market Maker (AMM), udsat for et hack. Protokollen blev ramt af et tab på cirka $45 millioner i CurveDAO, ETH og wETH. Angriberne udnyttede en fejl i Reentrancy-Lock i forskellige versioner af programmeringssproget Vyper (0.2.15, 0.2.16 og 0.3.0) på tværs af flere Stable-Pools. Vyper er et kontraktbaseret programmeringssprog baseret på Python, som bruges til at skrive Ethereum Virtual Machine (EVM) kontrakter.
Curve Finance er en non-custodial AMM, der tillader brugere og andre decentraliserede protokoller at udveksle tokens gennem dens lave gebyrer og slippage. Til dette formål benytter Curve formulerede likviditetspools.
Efter opdagelsen af sikkerhedshullerne brugte Vyper-teamet straks deres Twitter-platform til at informere brugerne om situationen. Som reaktion på dette informerede Curve Finance brugerne om, at “en række Stable-Pools (alETH/msETH/pETH), der bruger Vyper 0.2.15, er blevet udnyttet”.
Samme dag handlede en “etisk hacker” hurtigt og hentede en del af de stjålne midler for at returnere dem tilbage til Curve Finance. En bot-operatør ved navn “c0ffeebabe.eth” brugte en front-running-bot mod de ondsindede hackere og sikrede sig succesfuldt næsten 2.800 ETH (til en værdi af $5,4 millioner). Derefter blev disse midler returneret til adressen for Curve Deployers, deres retmæssige ejer.
Efter disse ondsindede angreb bekræftede Michael Egorov, CEO for Curve Finance, at en betydelig mængde af over 32 millioner CRV-tokens til en værdi af mere end $22 millioner ulovligt blev fjernet fra Swap-Poolen. Denne bekræftelse udløste en bølge af bekymring i hele DeFi-økosystemet, der udløste en bølge af transaktioner i forskellige pools og krævede en reaktion fra etiske hackere for at beskytte de berørte midler.
Midt i kaoset efterfølgende optrådte visse Twitter-konti, der udgav sig for at være Curve Finance og ofrene for hacken, nu med en bedragerisk refusionsprogram. Deres mål var dem, der allerede havde lidt tab som følge af den seneste hack.
Hvor er midlerne gået hen?
Curve Finance led et tab på cirka $45 millioner i CurveDAO-, ETH- og wETH-tokens som følge af udnyttelse af en sårbarhed i forskellige versioner af Vyper. Nogle af de mest berørte platforme og deres tab er angivet nedenfor. Sårbarheden gjorde det muligt for angriberen at udføre en Reentrancy-angreb, hvor funktionen “withdraw_with_fee” blev kaldt flere gange i træk. Ved hjælp af denne teknik lykkedes det angriberen at tømme midler fra forskellige likviditetspools. De berørte pools omfattede alETH-, msETH-, pETH-poolen, 3CRV-poolen og USDT/USDC-poolen. En lignende angreb skete også på Binance Smart Chain, hvilket resulterede i et samlet tab på cirka $73.000. Den uheldige hændelse afspejlede den oprindelige sårbarhed og havde en lignende virkning på den berørte platform.
På tidspunktet for denne rapport er der ikke observeret nogen betydelige pengeoverførsler fra angribernes adresser. Merkle Sciences undersøgelsesteam overvåger løbende alle potentielle pengestrømme. Vi vil give yderligere opdateringer, når situationen udvikler sig.
Sikkerhed i DeFi-sektoren
Den stigende mængde af DeFi-angreb understreger, at platformene skal investere i sikkerhedsforanstaltninger, gennemgå deres smart contracts og udarbejde nødplaner for mulige angreb. Kontinuerlige bestræbelser på at styrke protokoller og forbedre sikkerhedsforanstaltningerne er nødvendige for at forhindre yderligere tab. DeFi-markedet skal forblive opmærksom på at forstærke sine sikkerhedsforanstaltninger, da truslen om angreb fortsætter med at stige.
En løsning til at mindske DeFi-hacks er at bruge specialiseret kode, som projekter kan integrere i deres egne. Platforme kan også bruge forudgående undersøgte koder til at oprette deres egne Token Smart Contracts. Dette giver brugerne en sikker måde at starte deres egen token på.
Det amerikanske finansministerium har også understreget vigtigheden af at bekæmpe ulovlige finanser for at styrke national sikkerhed.
Generelt er det afgørende for DeFi-platforme at prioritere sikkerhedsforanstaltninger for at forhindre yderligere angreb og beskytte brugernes midler.
Denne artikel blev oprindeligt offentliggjort på Merkle Science.