Путь к восстановлению Curve Finance: DeFi вызовы для обеспечения безопасности

2024-06-26, 06:11

[TL; DR]

10 июня произошла атака на UwU Lend, в результате которой были потеряны криптоактивы стоимостью около 20 миллионов долларов.

Ликвидации, последовавшие за эксплуатацией UwU lend, привели к тому, что Майкл Егоров понес убытки, которые, однако, он погасил.

DeFi фирмам следует использовать передовые технологии и экспертизу для предотвращения будущих атак с использованием флэш-кредитов.

Введение

Крипто-преступления, кажется, продолжаются в 2024 году, несмотря на некоторые спокойные периоды на пути. К сожалению, наблюдается тенденция, когда злоумышленники пользуются ошибками на платформах, предлагающих мгновенные кредиты. Атака на UwU Lend, децентрализованный финансовый протокол (DeFi) кредитования, который существует на Ethereum блокчейн, показывает серьезность ситуации. Несмотря на усилия нескольких протоколов кредитования по улучшению мер безопасности, злонамеренные действующие лица, кажется, находят способы их использования.

Сегодня мы сосредоточимся на том, как атака протокола UwU на кредитование создала смятение для Curve Finance. Мы также рассмотрим путь Curve Finance к полному восстановлению.

Связанные новости: Curve Finance crvUSD, расширяет свою платформу DeFi Stablecoin

Беспорядки в секторе DeFi, связанные с Curve Finance

Протокол кредитования UwU дважды подвергся взлому во второй неделе июня, что вызвало смятение. на платформе Curve Finance. К сожалению, вторая атака произошла, когда криптовалютная компания находилась в процессе возмещения жертв первой атаки.

Атака, произошедшая 10 июня, привела к серии событий, в результате которых Михаил Егоров потерял более 100 миллионов долларов в виде кредитов, которые у него были на различных платформах. Когда кредиты были ликвидированы, цена токенов CRV примерно на 30%. В связанной с этим ситуации UwU потерял более 20 миллионов долларов после атаки флеш-кредита.

Без сомнения, причиной многомиллионных ликвидаций и плохих долгов в Curve Finance был атака флеш-кредита. Для контекста, UwU Lend позволяет своим пользователям одалживать, занимать и стейкировать различные криптовалютные активы. Согласно публикации CoinDesk, Михаил Егоров сказал, “15 апреля они (UwU Lend) развернули уязвимый код для новых (sUSDe) рынков, и эти рынки не изолированы, поэтому вся платформа несет риск.”

Он продолжил: “UwU был взломан, и хакер, в рамках игры на вывод наличности, внес CRV, взятые у UwU, на lend.curve.fi (LlamaLend) и исчез с средствами, оставив свой долг в системе.”

В пост X Егоров объяснил: «Многие из вас знают, что у меня были ликвидированы все мои займы. Размер моих позиций был слишком большим для рынков, и это привело к образованию 10 миллионов долга. Пострадал только рынок CRV (где позиция была наибольшей)».

Егоров объяснил причины ужасной ситуации. В в интервью Cointelegraph он сказал, «CRV, размещенные в качестве обеспечения по кредитам, составляли, вероятно, 30% от оборотного предложения; половина этой суммы была на Curve, так что у нее действительно были плохие долги. Она уже была погашена. Никто не пострадал.

Для немайнстримовой криптовалюты (например, не BTC или ETH в качестве залога) вероятно, следует предоставлять предельные кредиты; данные показывают, что специфические для Curve рынки могут быть хорошо параметризованы для выдержки даже таких условий.

Егоров также подчеркнул, что платформа Curve Finance команда работала над решением проблем ликвидации, возникших из-за UwU крипто-эксплойта. По его словам, хотя рынок DeFi Curve Finance отдельный от других пулов кредитования, вкладчики не будут выводить свои CRV, пока существует плохой долг Curve Finance. Егоров пояснил: «
Команда Curve Finance и я работаем над решением проблемы риска ликвидации, которая произошла сегодня,” добавил Майкл.

Несмотря на многомиллионные ликвидации и проблемы с долгами, Егоров заверил пользователей Curve Finance, что они все смогут вывести свои депозиты. Более важно, он обещал сделать криптопротокол самой безопасной платформой для кредитования на рынке DeFi. Основатель Curve Finance считает, что кредитно-заемные продукты платформы будут самыми безопасными в секторе.

Также Егоров рассказал о необходимых мерах безопасности для предотвращения будущих криптоэксплойтов. Например, он порекомендовал UwU Lend «перепроверить все контракты и связать их с хорошими аудиторами безопасности». Это гарантирует, что их механизмы коллективного кредитования будут надежными и безопасными. Вечные аудиты также помогут выявить любой уязвимый код в системе, тем самым предотвратив будущие крипто-операции.

Егоров также заявил, что отрасль должна использовать “ботов ликвидации с открытым исходным кодом” и проводить образовательную работу с сообществом по вопросам ликвидации.” По его мнению, если бы в случае эксплуатации UwU были использованы правильные технологии и экспертиза, последующие ликвидации и плохие долги можно было бы избежать. В этой связи Егоров пояснил: Кажется, что отраслевые гиганты не полностью разбирались в вопросах ликвидации; они не пытались провести частичные жесткие ликвидации для моей позиции на Curve. В конечном итоге мне пришлось сделать это самому.”

Согласно последнему обновлению Эгорова, Curve Finance уже выплатил $10 миллионов по плохим долгам, возникшим из-за мягких ликвидаций, вызванных эксплойтом UwU.

Стратегия хакера, включающая токены CRV

Чтобы полностью понять то, о чем мы говорили выше, давайте объясним, как произошла криптовалютная атака UwU и как она повлияла на токен CRV. Сначала криптовалютный злоумышленник воспользовался уязвимым кодом в протоколе ценовых оракулов, компоненте, который определяет цены на активы. После того, как хакер высосал различные криптовалютные активы, он/она внес CRV в LlamaLend, что позволило ему/ей занять более 8 миллионов crvUSD. В результате злоумышленник смог обменять токены CRV по более выгодному курсу.

Однако команда UwU приостановила транзакции, когда обнаружила эксплойт. В попытке смягчить влияние эксплойта на пользователей, платформы установили ставки по займам и депозитам на уровне 0. Кроме того, в попытке привлечь хакера к возврату крипто-добычи UwU предложили вознаграждение в размере 20% от общей суммы в качестве белой шляпы.

По сути, вознаграждение за эту награду было выше отраслевого стандарта в 10%. Команда обещала выплатить вознаграждение в размере 5 миллионов долларов в ETH. Любой, кто поможет поймать злоумышленника, может получить обещанные 5 миллионов долларов. Некоторые из украденных хакерами криптоактивов были uLUSD, uFRAX, uDAI от UwU, uCRVUSD, uWETH и uUSDT.

Заключение

Curve Finance потеряла $100 миллионов из-за многомиллионных ликвидаций, последовавших за хаком криптовалюты UwU Lend. Через тот же хак UwU Lend потерял активы на сумму $20 миллионов. Тем временем UwU объявила о вознаграждении в размере $5 миллионов для того, кто поможет найти злоумышленника. Егоров призвал криптофирмы сектора улучшить свои меры безопасности и проводить постоянные аудиты, чтобы предотвратить будущие хаки.

Автор: Машелл К., исследователь Gate.io

Эта статья представляет только точку зрения исследователя и не является инвестиционными рекомендациями.

Gate.io оставляет за собой все права на данный статью. Перепост статьи разрешен при условии ссылки на Gate.io. Во всех случаях будут приняты правовые меры в связи с нарушением авторских прав.