Naubos ang Curve Finance ng $50M Habang Bumaba ng 12% ang CRV Token sa Pinakabagong DeFi Exploit

Ang Curve, isang stablecoin exchange sa gitna ng desentralisadong Finance (DeFi) sa Ethereum, ay naging biktima ng pagsasamantala ayon sa isang tweet mula sa proyekto.

Ang Curve ay umaasa sa mga matalinong kontrata sa halip na mga middlemen upang mag-alok ng mga serbisyong pinansyal tulad ng stablecoin na paghiram, pangangalakal at pagpapahiram sa mga user. Ang mga depositor sa Curve ay nakakakuha ng taunang ani ng hanggang 4% mula sa ONE sa maraming pool sa platform.

Higit sa $100 milyon na halaga ng Cryptocurrency ang nasa panganib dahil sa isang "re-entrancy" na bug sa Vyper, isang programming language na ginagamit upang paganahin ang mga bahagi ng Curve system. Maraming stablecoin pool sa platform — na ginagamit para sa pagpepresyo at pagkatubig sa ilang iba't ibang serbisyo ng DeFi — ay naubos ng mga hacker sa ngayon.

"Bilang resulta ng isang isyu sa Vyper compiler sa mga bersyon 0.2.15-0.3.0, ang mga sumusunod na pool ay na-hack: CRV/ ETH, aleth/ ETH, mseth/ ETH, peth/ ETH," tweet ni Curve noong Lunes.

Ang reentrancy ay isang pangkaraniwang bug na nagbibigay-daan sa mga umaatake na linlangin ang isang matalinong kontrata sa pamamagitan ng paulit-ulit na pagtawag sa isang protocol upang magnakaw ng mga asset. Ang tawag ay awtorisasyon para sa smart contract address na makipag-ugnayan sa wallet address ng user.

Ang iba pang mga proyekto na gumagamit ng Vyper programming language ay maaaring magbahagi ng parehong kahinaan.

Ito ay hindi malinaw sa press time kung magkano ang na-drain mula sa Curve bilang resulta ng pag-atake. Ang BlockSec, isang blockchain auditing firm, ay tinantya ang kabuuang pagkalugi sa itaas ng $42 milyon sa isang paunang pagsusuri na nai-post sa Twitter. Si Tarun Chitra, punong ehekutibong opisyal at tagapagtatag ng Crypto risk modeling firm na Gauntlet, ay tinantya na nakuha ng mapagsamantala ang humigit-kumulang $20 milyon ng CRV at isang bersyon ng ether.

Ang Curve ay nagpapatakbo ng 232 iba't ibang pool, ayon sa website nito, ngunit ang mga pool lamang na gumagamit ng Vyper na bersyon 0.2.15, 0.2.16 at 0.3.0 ang nasa panganib, sabi ni mimaklas, isang miyembro ng koponan sa isang anunsyo ng Discord.

Sinabi rin ni Mimaklas na "lahat ng mga apektadong pool ay pinatuyo o puting na-hack, at ang koponan ay tinatasa ang sitwasyon sa mga apektadong koponan."

Sa ibang lugar, ang lending at borrowing protocol Aave ay hindi pinagana ang CRV borrowing function nito sa gitna ng panic. Ang isang napakalaking $100 milyon na utang sa CRV mula sa tagapagtatag ng Curve na si Michael Egorov sa Aave ay malapit nang mapuksa - at kung ang mga presyo ng CRV ay patuloy na tataas at maabot ang limitasyon ng pagpuksa, ang mga protocol ay kailangang likidahin ang mga posisyon ng CRV .

Nagpapadala ang Whitehat ng mga Pondo; Lumubog ang CRV

Nagawa ng Curve Finance na makabalik ng pera salamat sa operator ng bot na 'c0ffeebabe. ibinabalik ng ETH' ang 2,879 ETH, na nagkakahalaga ng halos $5.5 milyon sa kasalukuyang mga presyo, sa platform. Ang mga pondong ito ay etikal na ninakaw mula sa hacker sa pamamagitan ng paunang pagpapatakbo ng kanilang malisyosong transaksyon.

Na-destabilize ng heist ang mga trading Markets para sa native CRV token ng Curve DAO, na bumaba ng 17% sa araw na iyon sa presyong $0.61 noong press time. Nagbanta ang pagkilos ng presyo na iyon na Compound ang kaguluhan sa pamamagitan ng potensyal na pagpilit ng pagpuksa sa tagapagtatag ng $70 milyong posisyon sa paghiram ng Curve sa Aave.

Samantala, ang kabuuang halaga ng mga asset na naka-lock sa Curve ay bumagsak sa $1.7 bilyon noong Lunes mula sa higit sa $3 bilyon noong Linggo, ayon sa data provider na DeFiLlama, dahil malamang na tumakas ang kapital ng mamumuhunan sa palitan.

I-UPDATE (Hulyo 30, 2023, 21:25 UTC): Nagdaragdag ng karagdagang impormasyon.

I-UPDATE (Hulyo 30, 2023, 09:30 UTC): Mga update na may mga pinakabagong komento mula sa Curve, contagion effect sa Aave, bumaba sa Curve DeFi value, at nagpapaliwanag ng reentrancy attack.