Curve 70 Milyon Dolarlık İstismara Uğradı, Ancak İçerdiği Hasar

Pazar günü Curve Finance merkezi olmayan borsasına yapılan bir dizi saldırıda 70 milyon doların üzerinde çeşitli dijital varlık hacklendi. 

Saldırılar kabaca saat 9: 30'da Et'de başladı ve Jpeg'd'nin pETH-ETH likidite havuzunun 11 milyon doların üzerinde bir istismarıyla başladı, ancak bu bir MEV araştırmacısı tarafından ön plana çıkmış olabilir. 

Potansiyel olarak hepsi farklı aktörler tarafından başlatılan diğer dört saldırı da Alchemix'in alETH-ETH havuzunu, CRV / ETH havuzunu iki kez, Pendle'ın pETH-ETH havuzunu ve Metronome'un msETH-ETH havuzunu güvenlik uzmanı analizi başına toplam 70 milyon doların üzerinde boşalttı. Hacklerin bir kısmının whitehat hackerları tarafından gerçekleştirildiği bildirildi, bu da kaybedilen toplam miktarın 50 milyon dolara yakın olabileceği anlamına geliyor.

Eğri Uyuşmazlığı üzerine yapılan açıklamada, takım temsilcisi "mimaklas“ kabaca saat 4: 30'da et'ye "etkilenen tüm havuzların boşaltıldığını veya beyazın saldırıya uğradığını" yazdı. Kalan tüm havuzlar güvenlidir ve hatadan etkilenmez." Bir Eğri temsilcisi yorum yapmaktan kaçındı. 

Bu açıklamalara rağmen saldırılar hala devam ediyor olabilir. Mimaklas'ın mesajından iki saat sonra, CRV-ETH havuzunun bir başka istismarı 5,2 milyon dolar daha harcadı. 

3 Milyar dolarlık likidite ile Curve, Defi'deki en büyük ikinci ve yapısal olarak en önemli dex'tir ve etkilenmeyen stabilcoin swap piyasaları için özel bir önem taşır. Curve'un CRV yönetişim ve ödüller jetonu, günün erken saatlerinde 0,58 dolara kadar düştükten sonra% 13,4 düşüşle 0,64 dolara geriledi.

0 günlük hata

Wildcat Finance'in kurucusu ve akıllı sözleşme istismarlarında sık sık sunum yapan Dr. Laurence Day'e göre, hırsızlıklar, birden fazla sözleşme için kullanılan programlama dili Eğrisi olan Vyper için derleyicinin belirli sürümlerinde sıfır günlük bir güvenlik açığı ile etkinleştirildi. 

Güvenlik açığı, amaçlandığı gibi çalışmayan ”yeniden giriş" önlemlerine ilişkin bir varsayıma dayanmaktadır. Yeniden giriş saldırıları yaygın bir istismar vektörüdür.

Güvenlik açığının ortaya çıkmasından bu yana geçen saatlerde, geliştirme ekipleri arasında bir miktar parmak izi vardı. O zamandan beri silinen bir tweet'te, resmi Curve Twitter hesabı, istismar için JPEG'D geliştiricilerini suçluyor gibiydi. Jpeg'd'in ekibi de kendilerini savundu.

Curve aynı zamanda geçmişte devam eden gelişimini finanse eden Vyper ekibinin önemli bir destekçisidir ve Curve ekibi üyeleri Vyper kod tabanının bakımında aktif olarak yer almaktadır. 

Day, istismar için herhangi bir takımı suçlamamaya karşı uyardı. 

"Derleyiciler, büyük çoğunluğumuzun basitçe kabul ettiği bir dizi davranışsal varsayımla önceden paketlenmiştir, çünkü bizden daha zeki insanların bacak çalışmasını meclise daha yakın yaptığını varsayıyoruz” diye yazdı. "Bu şeyleri doğrulamak için parmakları işaret etmek ve başarısızlıkları dile getirmek çok kolay.”

Alchemix sözleşmeleri durdurdu

Saldırıdaki en çok etkilenen protokoller arasında Alchemix, sömürücünün aleth'i yerel ETH ile değiştirmesini önlemek için, AMM Velodromunun bir ALETH havuzunda 4,4 milyon dolarlık likiditeye sahip olduğu İyimserliğe giden bir köprü ve aleth'i ETH ile değiştiren “transmuter” sözleşmesi de dahil olmak üzere bir dizi sözleşmeyi duraklattı 1'e 1.

Alchemix, kullanıcılara gelecekteki verimlerinde bir ilerleme sağlamak için tasarlanmıştır ve süreçte eter tarafından desteklenen sentetik bir eter türevi olan aleth'i kullanır. 

Bununla birlikte, bir tweet'te Alchemix geliştirme ekibi, bir sömürücünün alETH-ETH havuzundan 5.000 ETH almayı başardığını ve muhtemelen alETH varlığını kısmen boş bıraktığını bildirdi. Hasarın boyutu belli değil; Aleth'e yapılan iki saldırı 30 milyon doların üzerine çıktı, ancak biri whitehat operasyonu olabilir.

Ek olarak, ilk istismarlarla ilişkisiz görünen bir kullanıcı, 5 eth'yi 1200 alETH ile takas etmek için istismardan yararlandı ve daha sonra satıştan önce ikincil bir adrese transfer ettiler.

alETH şu anda yerel ETH'YE göre 1.476 $ 'dan 1.887 $ 'dan işlem görüyor, bu da piyasanın% 22'lik bir destek eksikliği varsaydığı anlamına geliyor. Aleth'in Coingecko başına toplam piyasa değeri 68 milyon dolar, sadece Ethereum ana ağında 38 milyon dolar.

Alchemix'in yönetim belirteci ALCX, istismardan sonra yaklaşık% 7 düştü.

Olası bulaşma

Saldırıların kendilerinden kaynaklanan ekonomik zararın yanı sıra — sömürülen havuzlar, saldırı sırasında dolar cinsinden sömürücülerin gerçekte kaydırmayı başardıklarından önemli ölçüde daha büyüktü - birçok gözlemci potansiyel dalgalanma etkileri konusunda endişeleniyor. 

Curve Finance'in kurucusu Michael Egorov'un 60 milyon dolarlık Aave V2 kredisi özellikle ilgi çekici. Kredi, esas olarak protokolün kolayca tasfiye edebileceğinin çok ötesinde CRV belirteçleriyle desteklenir ve bu da potansiyel olarak kötü borca neden olabilir. 

Egorov'un pozisyonunun büyüklüğü, belki de daha önce saldırının hedefi olacak şekildedir. 

Egorov'un hesabı protokole teminat ekledikten ve yaklaşık 4 milyon dolar borç ödedikten sonra, pozisyon şu anda istikrarlı.

Potansiyel iyileşme

Whitehats tarafından ele geçirilmeyen saldırıya uğramış fonların bir kısmının da kurtarılabilir olduğu zaten kanıtlandı. 

Beş istismardan üçü, peth-ETH havuzuna, msETH-ETH havuzuna ve CRV-ETH havuzuna yapılan ikinci saldırı da dahil olmak üzere MEV araştırmacıları tarafından yönetildi. 

Son ikisi söz konusu olduğunda, istismarlar üretken MEV hesabı coffeebabe tarafından yönetiliyordu.eth. Bu adres daha önce aylar önce başka bir istismarın önüne geçtikten sonra fonları iade etmek için Sushi ile iletişim kurmaya çalıştı.

Adresleri çile boyunca aktif kaldı ve saldırıların önüne geçmenin yanı sıra popüler memecoinler üzerinde işlemler gerçekleştirdi, bu da frontrun'ların hesap sahibinin aktif bilgisi olmadan hesap tarafından özerk bir şekilde gerçekleşmiş olabileceğini ima etti. 

Eğri, Coffeebabe ile zincir üzerinde iletişim kurdu.sömürülen fonları soğuk hava deposuna taşıma niyetini ve fonları etkilenen taraflara iade etme isteklerini ifade eden eth.

Kabaca 8:00 ET coffeebabe itibariyle.eth, fonları ikinci CRV / ETH havuzu istismarından iade etti.

Kaynak: blockworks.co