" Экосистема децентрализованных финансов (DeFi) пережила неделю сейсмических потрясений после того, как инцидент безопасности привел к краже более 61 миллиона долларов из пулов Curve Finance, а затем и еще несколько протоколов столкнулись с аналогичными проблемами.
Эта атака выявила уязвимости в проектах DeFi и спровоцировала попытки вернуть украденные средства за последние несколько дней.
Пока сообщество изучает последствия этого эксплойта, напомним события недели, представляя хронологию того, что произошло после взлома 30 июля.
Взлом: пулы Curve Finance подверглись эксплоиту на сумму более 61 миллиона долларов из-за уязвимости повторного входа
Несколько пулов стейблкоинов на Curve Finance (CRV), разработанных с использованием языка программирования Vyper, подверглись эксплоиту 30 июля, при этом убытки составили более 61 млн долларов (общие убытки изначально оценивались в 47 млн долларов). Уязвимость была обнаружена в версиях Vyper 0.2.15, 0.2.16 и 0.3.0.
Атаке также подверглись несколько проектов DeFi. Децентрализованная биржа (DEX) Ellipsis сообщила, что небольшое количество пулов стейблкоинов с BNB подверглись эксплоиту с использованием уязвимости старого компилятора Vyper. alETH-ETH Alchemix также стал свидетелем оттока 13,6 млн долларов из-за атаки, наряду с 11,4 млн долларов, потерянных из-за эксплоита в пуле pETH-ETH JPEGd, и 1,6 млн долларов из пула sETH-ETH Metronome. Генеральный директор Curve Finance Михаил Егоров также подтвердил, что из своп-пула было выведено 32 миллиона токенов Curve DAO (CRV) на сумму более 22 миллионов долларов.
Рисунок 1. Михаил Егоров из Curve подтвердил кражу 32 миллионов токенов Curve DAO 30 июля. Источник: Telegram/LobsterDAO
BNB Smart Chain (BSC) также стала жертвой подражательных атак из-за той же уязвимости: в BSC были украдены криптовалюты на сумму около 73 000 долларов в результате трех эксплойтов.
С тех пор, как стало известно об эксплойте, белые и черные хакеры сражались в сети, пытаясь сорвать попытки эксплойта друг друга или усилия по возврату средств.
Предварительные исследования показали, что в некоторых версиях компилятора Vyper неправильно реализована защита от повторного входа, которая предотвращает одновременное выполнение нескольких функций за счет блокировки контракта.
Последствия: уязвимость Vyper подвергает экосистему DeFi стресс-тестам, цена CRV падает
В последующие дни волна инцидентов безопасности, использующая уязвимость старой версии Vyper, подвергла протоколы DeFi стресс-тесту, что вызвало опасения по поводу воздействия эксплойта на криптоэкосистему, в частности, потому что уязвимость может подвергнуть все пулы с Wrapped Ether (WETH) риску атаки.
Vyper — это язык программирования смарт-контрактов, разработанный для виртуальной машины Ethereum. Он считается одним из наиболее широко используемых языков программирования Web3, а это означает, что ошибка в трех его версиях может угрожать нескольким другим протоколам.
Эксплойт также привел к одному из самых больших блоков вознаграждения с максимальной извлекаемой ценностью (MEV) в размере 584,05 (ETH). По словам основного разработчика Ethereum «eric.eth», бот заметил входящий взлом в мемпуле, воспроизвел транзакцию и запустил ее.
«Для этого они платят производителю блоков много ETH, чтобы транзакция была впереди очереди», — пояснил он.
Боты MEV могут видеть незавершенные транзакции по ликвидации и заранее запускать их, чтобы сначала купить ликвидированные активы со скидкой.
«Сегодня были произведены одни из крупнейших блоков вознаграждения MEV в истории Ethereum.
Слот 6 992 273: 584 ETH
Слот 6 993 342: 345 ETH
Слот 6 992 050: 247 ETH
Слот 6 993 346: 51 ETH»— задокументировал в твиттере eric.eth (@econoar) 30 июля 2023 г.
Генеральный директор Curve спешит выплачивать залоговые кредиты
Долг основателя Curve мог привести к эффекту домино для других участников экосистемы DeFi. Еще до атаки основатель Curve Finance Михаил Егоров набрал кредитов на сумму около 100 миллионов долларов, под 47% оборотного предложения родного токена протокола CRV.
Однако цена CRV после взлома упала почти на 30% до минимума в 0,48 доллара на фоне опасений, что кредиты Егорова, обеспеченные залогом, будут ликвидированы.
Чтобы уменьшить свою долговую позицию, Егоров продал 39,25 миллиона токенов CRV нескольким известным инвесторам DeFi, включая Джастина Сана, Machi Big Brother и DWF Labs, на общую сумму 15,8 миллиона долларов. Покупатели приобрели CRV по цене 0,40 доллара США за токен, что на тот момент составляло 25% скидку по сравнению с рыночной ценой. Кроме того, Егоров произвел частичные выплаты по двум кредитам на Aave и Frax Finance.
Ценовой поток CEX предотвращает падение цены Curve
Цена токена CRV на рынке DeFi рухнула из-за значительного слива нескольких пулов; однако в конечном итоге его спасла ценовая лента централизованной биржи (CEX). Цена CRV достигла 0,086 доллара на DEX, но торговалась на уровне 0,60 доллара на CEX, что предотвратило падение цены токена до нуля.
Ироничный инцидент привлек внимание генерального директора Binance Чанпэна Чжао, который посмеялся над тем фактом, что, в конце концов, протокол DeFi спас ценовой поток CEX.
Также реагируя на неопределенную обстановку, родной стейблкоин Curve, crvUSD, 3 августа ненадолго отменил привязку. Алгоритмический стейблкоин упал на целых 0,35%, прежде чем восстановить свою привязку к доллару США. Недавно запущенный crvUSD использует механизм для поддержания своей привязки, называемый алгоритмом PegKeeper, который гарантирует, что стоимость crvUSD должным образом обеспечена залогом, уравновешивая спрос и предложение.
«А как насчет crvUSD? Как его цена реагирует на шоковые события, не дестабилизируется ли? События последних дней в чем-то напоминали ситуацию с SVB/USDC. Однако падение crvUSD составило всего 0,35%, а в настоящее время — 0,1% от привязки», — проводит параллели в твиттере Curve Finance (@CurveFinance) 3 августа 2023 г.
Сообщество DeFi: этичный хакер получает 5,4 миллиона долларов для Curve Finance с помощью эксплойта
Во время кризиса сообщество DeFi поддержало Curve Finance. 31 июля хакеру в белой шляпе удалось получить около 2879 эфиров на сумму около 5,4 миллиона долларов от эксплуататора и вернуть ETH в Curve Finance. Через несколько часов другой этичный хакер захватил почти 3000 ETH и вернул ETH на адрес развертывателя Curve.
На фоне опасений ликвидации, связанных с кредитами Егорова, Джун Ду, соучредитель Huobi, приобрел 10 миллионов CRV за 4 миллиона долларов у генерального директора Curve. Кроме того, основатель Aave Chan Марк Зеллер предложил Казначейству Aave купить у протокола токены CRV на сумму 2 миллиона долларов. Согласно предложению, это приобретение будет сигнализировать о том, что игроки DeFi поддерживают здоровье экосистемы.
Платформа межсетевого кредитования Abracadabra Money также предложила увеличить процентную ставку по своим непогашенным кредитам, чтобы управлять рисками, связанными с ее подверженностью CRV.
Возврат средств: Curve, Metronome и Alchemix предлагают 10% вознаграждение за обнаружение ошибки, хакер соглашается
3 августа Curve, Metronome и Alchemix совместно объявили об инициативе по возврату украденных средств в результате недавних эксплойтов пулов Curve. Протоколы предложили хакеру оставить себе награду в размере 10% от украденных средств в качестве вознаграждения, призывая виновных в эксплойте сделать шаг вперед и вернуть оставшиеся 90%, в результате чего награда приблизится к 7 миллионам долларов.
Предложение было сделано с гарантией отсутствия дальнейших юридических действий или привлечения правоохранительных органов.
«Хотим решить это цивилизованно», — написали хакеру представители протоколов.
Менее чем за 24 часа, 4 августа, первоначальный организатор многомиллионного эксплойта, по-видимому, принял предложение о вознаграждении и начал возвращать средства, украденные несколькими днями ранее. Хакер отправил обратно 4 820,55 ETH Alchemix (alETH) на сумму около 8 889 118 долларов команде Alchemix Finance, а также 1 ETH, примерно 1844 доллара, команде Curve Finance.
Злоумышленник также опубликовал сообщение, которое, по-видимому, было адресовано командам Alchemix и Curve, в котором утверждалось, что он готов вернуть средства, но только потому, что человек не хотел «разрушать» вовлеченные проекты, а не потому, что злоумышленник был пойман.
Сообщение, отправленное протоколам инициатором эксплоита 4 августа. Источник: Etherscan.
На момент написания статьи было возвращено в общей сложности 8,9 миллиона долларов криптовалюты, что составляет примерно 15% от общей суммы незаконно выведенных средств.
