Экосистема децентрализованных финансов (DeFi) пережила непростую неделю после того, как в результате инцидента, вызвавшего серьезную угрозу безопасности, из пулов Curve Finance было похищено более 61 млн. долларов, а несколько протоколов столкнулись с более широкими рисками заражения.
Эта атака выявила уязвимости во всех проектах DeFi и привела к тому, что в течение последних нескольких дней предпринимались усилия по возврату похищенных средств.
Пока сообщество разбирается с последствиями этого эксплойта, Cointelegraph собрал события недели, представив хронологию событий, произошедших после взлома 30 июля.
Взлом: Из-за уязвимости в реентерабельности пулы Curve Finance были взломаны на сумму более 61 млн. долл.
30 июля были взломаны несколько стабильных пулов на Curve Finance, использующих язык программирования Vyper, и потери составили более 61 млн. долларов (первоначально общая сумма потерь оценивалась в 47 млн. долларов). Уязвимость была обнаружена в версиях Vyper 0.2.15, 0.2.16 и 0.3.0.
В результате атаки пострадали несколько проектов DeFi. Децентрализованная биржа (DEX) Ellipsis сообщила, что небольшое количество стабильных пулов с BNB (BNB) подверглось эксплуатации с использованием старого компилятора Vyper. Отток средств из пула alETH-ETH компании Alchemix составил 13,6 млн. долларов, а также 11,4 млн. долларов из пула pETH-ETH компании JPEGd и 1,6 млн. долларов из пула sETH-ETH компании Metronome. Генеральный директор Curve Finance Михаил Егоров также подтвердил, что из своп-пула было выведено 32 млн. токенов Curve DAO (CRV) на сумму более 22 млн. долл.
Смарт-цепочка BNB (BSC) также стала жертвой атак копирования из-за той же уязвимости: в результате трех эксплойтов на BSC были похищены криптовалюты на сумму около 73 тыс. долл.
С тех пор как стало известно о появлении эксплойта, "белые" и "черные" хакеры ведут борьбу на цепочке, пытаясь сорвать попытки друг друга использовать эксплойт или вернуть средства.
Предварительное расследование показало, что в некоторых версиях компилятора Vyper некорректно реализована защита от реентерабельности, которая предотвращает одновременное выполнение нескольких функций путем блокировки контракта.
Последствия: Уязвимость Vyper подвергает экосистему DeFi стресс-тестам; цена CRV резко падает
В результате инцидента безопасности протоколы DeFi были подвергнуты стресс-тесту в последующие дни, что вызвало опасения относительно влияния эксплойта на криптовалютную экосистему - в частности, потому, что уязвимость может подвергнуть риску атаки все пулы с обернутым Эфиром (WETH).
Vyper - это язык программирования контрактов, разработанный для виртуальной машины Ethereum. Он считается одним из самых распространенных языков программирования Web3, а значит, ошибка в трех его версиях может угрожать нескольким другим протоколам.
Эксплойт также привел к созданию одного из крупнейших в истории блоков с максимальной извлекаемой стоимостью (MEV) вознаграждения в 584,05 Ether (ETH). По словам разработчика ядра Ethereum "eric.eth", бот заметил входящий взлом в мемпуле, воспроизвел транзакцию и перевел ее вперед. "Для этого они платят блокчейну много ETH, чтобы быть впереди всех", - пояснил он. Боты MEV могут видеть предстоящие ликвидационные транзакции и опережать их, чтобы купить ликвидируемые активы первыми со скидкой".
Сегодня появились одни из самых крупных блоков вознаграждения MEV в истории Ethereum.
- eric.eth (@econoar) 30 июля 2023 г.
Слот 6 992 273: 584 ETH
Слот 6 993 342: 345 ETH
Слот 6 992 050: 247 ETH
Слот 6 993 346: 51 ETH
Генеральный директор компании Curve спешит расплатиться по кредитам, обеспеченным залогом
Угрозы, возникающие в других странах, могут вызвать эффект пульсации и в DeFi. Основатель Curve Finance Михаил Егоров получил около 100 млн. долл. кредитов, обеспеченных 47% оборотного предложения собственного токена протокола, CRV.
Однако после выхода сообщения цена CRV упала почти на 30%, опустившись до минимума 0,48 долл. на фоне опасений, что обеспеченные Егоровым кредиты будут ликвидированы.
Для сокращения долга Егоров продал 39,25 млн. токенов CRV нескольким известным инвесторам DeFi, включая Джастина Суна, Machi Big Brother и DWF Labs, на общую сумму 15,8 млн. долл. Покупатели приобрели CRV по цене 0,40 долл. за токен, что на 25% ниже рыночной цены на тот момент. Кроме того, Егоров произвел частичные выплаты по двум кредитам на Aave и Frax Finance.
Подача цены на CEX предотвращает обвал цены Curve
Цена токена CRV рухнула на рынке DeFi из-за значительного слива нескольких пулов, но в итоге была спасена благодаря централизованной подаче цены на биржу (Cex). Цена CRV достигла 0,086 долл. на DEX, но на Cex торговалась по 0,60 долл., что предотвратило обвал цены токена до нуля.
Ироничный инцидент привлек внимание генерального директора Binance Чанпенга Чжао, который посмеялся над тем, что в итоге именно ценовой фид CEX спас протокол DeFi.
Также реагируя на неопределенную обстановку, 3 августа произошло кратковременное падение курса родного стабильного монета Curve - crvUSD. Алгоритмический стейблкоин упал на 0,35%, после чего восстановил свою привязку к доллару США. Недавно запущенный crvUSD использует механизм поддержания привязки, называемый алгоритмом PegKeeper, который обеспечивает надлежащее обеспечение стоимости crvUSD залогом, балансируя спрос и предложение.
Сообщество DeFi: Этичный хакер получил 5,4 млн. долл. для компании Curve Finance в результате использования эксплойта
В период кризиса сообщество DeFi поддержало компанию Curve Finance. 31 июля хакеру в белой шляпе удалось получить от эксплуатанта около 2 879 Эфиров на сумму около 5,4 млн. долл. и вернуть ETH в Curve Finance. Несколько часов спустя другой этичный хакер изъял почти 3 000 ETH и вернул их на адрес развертывателя Curve.
На фоне опасений ликвидации, связанных с кредитами Егорова, Чжун Ду, соучредитель Huobi, приобрел у CEO Curve 10 млн. CRV за 4 млн. долл. Кроме того, основатель Aave Chan Марк Целлер предложил казначейству Aave выкупить у протокола токены CRV на сумму 2 млн. долл. Согласно предложению, приобретение станет сигналом того, что игроки DeFi поддерживают здоровье экосистемы.
А что с crvUSD? Как его цена реагирует на шоковые события, депеширует ли она?
- Curve Finance (@CurveFinance) 3 августа 2023 г.
События последних дней в чем-то похожи на ситуацию с SVB/USDC. Однако crvUSD просел всего на 0,35% и сейчас находится в 0,1% от привязки pic.Twitter.com/HaMfbkiFSR
Платформа межцепочечного кредитования Abracadabra Money также предложила повысить процентную ставку по своим непогашенным кредитам для управления рисками, связанными с воздействием CRV.
Возврат средств: Curve, Metronome и Alchemix предлагают 10-процентное вознаграждение за ошибки; хакер забирает его
3 августа компании Curve, Metronome и Alchemix объявили о совместной инициативе по возврату средств, похищенных в результате недавней эксплуатации пулов Curve. Протоколы предлагали в качестве вознаграждения 10% от суммы похищенных средств, призывая ответственных за эксплойт выйти на связь и вернуть оставшиеся 90%, в результате чего сумма вознаграждения приблизится к 7 млн. долл.
Предложение сопровождалось гарантией отсутствия дальнейших судебных разбирательств и привлечения правоохранительных органов. "Мы хотим разрешить эту проблему цивилизованным путем", - написали хакеру протоколы.
Менее чем через сутки, 4 августа, злоумышленник, изначально использовавший многомиллионный эксплойт, по всей видимости, принял предложение о вознаграждении и начал возвращать средства, украденные несколькими днями ранее. Хакер отправил 4 820,55 Alchemix ETH (alETH), что составляет примерно 8 889 118 долларов США, команде Alchemix Finance, а также 1 ETH, что составляет примерно 1 844 доллара США, команде Curve Finance.
Злоумышленник также опубликовал сообщение, адресованное, по-видимому, командам Alchemix и Curve, в котором утверждал, что готов вернуть средства, но только потому, что не хочет "разрушать" участвующие в проекте проекты, а не потому, что злоумышленник был пойман.
На момент написания статьи было возвращено криптовалюты на общую сумму 8,9 млн долларов, что составляет примерно 15% от общей суммы слива.
Источник
