Шлях до відновлення фінансів Curve: виклики DeFi для гарантування безпеки

[TL; DR]

10 червня UwU Lend був атакований і втратив криптоактиви на суму приблизно 20 мільйонів доларів.

Ліквідації, які настали внаслідок використання UwU lend, призвели до того, що Майкл Егоров поніс поганий борг, який він, однак, виплатив.

DeFi-компанії повинні впроваджувати передові технології та досвід, щоб запобігти майбутнім атакам на флеш-позики.

Вступ

Криптовалютні злочини, здається, тривають і в 2024 році, незважаючи на деякі тихі періоди по ходу. На жаль, спостерігається тенденція розвитку, коли зловмисники використовують уразливості на платформах, що пропонують швидкі кредити. Атака на UwU Lend, децентралізований фінансовий (DeFi) протокол позичання, який існує на Ефіріум блокчейн, показує серйозність ситуації. Незважаючи на зусилля кількох протоколів кредитування покращити свої заходи безпеки, зловмисники, здається, знаходять способи їх експлуатації.

Сьогодні ми зосередимося на тому, як атака протоколу UwU позначилася на Curve Finance. Ми також розглянемо шлях Curve Finance до повного відновлення.

Пов’язані новини: Curve Finance crvUSD, розширює свою платформу стабільних монет DeFi

Турбота в секторі DeFi, пов’язана з Curve Finance

Протокол кредитування UwU мав два взломи, які сталися протягом другого тижня червня, що спричинило турботу на платформі Curve Finance. На жаль, другий напад стався, коли криптовалютна компанія знаходилася в процесі відшкодування жертв першого нападу.

Атака, яка сталася 10 червня, призвела до послідовності подій, які призвели до того, що Майкл Егоров втратив понад 100 мільйонів доларів позик, які він мав на різних платформах. Коли позики були ліквідовані, Ціна токенів CRV впав приблизно на 30%. У зв’язку з цим UwU втратив понад 20 мільйонів доларів після атаки на флеш-кредити.

Без сумніву, причиною багатомільйонних ліквідацій та поганих заборгованостей Curve Finance була атака на флеш-кредит. На контекст, UwU Lend дозволяє своїм користувачам позичати, видаляти і ставити різні криптовалютні активи. Згідно з публікацією CoinDesk, Михаїл Єгоров сказав, «15 квітня вони (UwU Lend) розгорнули вразливий код для нових (sUSDe) ринків, а ці ринки не є ізольованими, тому вся платформа несе ризик».

Він продовжив: «UwU було взламано, а хакер, як частина гри на виведення грошей, депонував CRV, взяті з UwU, на lend.curve.fi (LlamaLend) і зник з коштами, залишивши свій борг у системі».

У пост X Егорова пояснив: “Багато хто з вас знають, що всі мої кредити були ліквідовані. Розмір моїх позицій був занадто великим для ринків, щоб їх обробити, і спричинив 10 млн неплатоспроможності. Постраждав тільки ринок CRV (де позиція була найбільшою).”

Егоров навів причини скрутної ситуації. У у інтерв’ю з Cointelegraph він сказав, «CRV, забезпечені кредитами, складали, напевно, 30% обігового запасу; половина з них була на Curve, тому це дійсно призвело до поганих боргів. Це вже було погашено. Ніхто не постраждав.

Для неосновних криптовалют (наприклад, не BTC або ETH як застави), швидше за все, слід передбачити обмеження запозичень; дані показують, що ринки, специфічні для Curve, можуть бути добре параметризовані, щоб витримувати навіть ці умови».

Егоров також наголосив, що Платформа Curve Finance Команда працювала над вирішенням проблем ліквідації, що виникли внаслідок експлуатації криптовалюти UwU. Згідно з його словами, хоча ринок DeFi Curve Finance є окремим від інших кредитних пулів, вкладники не знімали свої CRV, доки існував заборгованість Curve Finance. Егоров пояснив: “
Команда Curve Finance і я працювали над вирішенням проблеми ризику ліквідації, яка виникла сьогодні,” Додав Майкл.

Незважаючи на багатомільйонні ліквідації та проблемні борги, Єгоров запевнив користувачів Curve Finance, що всі вони зможуть забрати свої депозити. Що ще важливіше, він пообіцяв зробити криптопротокол найбезпечнішою платформою для кредитування на ринку DeFi. Засновник Curve Finance вважає, що кредитні/позикові продукти платформи будуть найбезпечнішими в секторі.

Крім того, Егоров розповів про необхідні заходи безпеки для запобігання майбутнім криптоперехопленням. Наприклад, він рекомендував, щоб UwU Lend повторно перевірив всі контракти та пов’язав їх з хорошими аудиторами з безпеки. Це забезпечить надійність і безпеку їх колективних механізмів позичок. Вічні аудити також допоможуть виявити будь-який вразливий код у системі, тим самим запобігаючи майбутнім криптоексплуатаціям.

Єгоров також зазначив, що галузь повинна використовувати “відкриті ліквідаційні боти” та публічну освіту про ліквідації. За його словами, якби в справі з використанням UwU експлойту була використана правильна технологія та експертиза, наступні ліквідації та погані борги були б уникнуті. До цього Єгоров пояснив: Здається, що важкі ваги галузі не повністю розуміли, як вирішувати ліквідації; вони не намагалися здійснювати часткові тверді ліквідації для моєї позиції на Curve. У кінці кінців, мені довелося це зробити самому.

Згідно з останнім оновленням Егорова, Curve Finance вже повернув 10 мільйонів доларів поганих заборгованостей, що виникли внаслідок м’яких ліквідацій, які спричинили експлойти UwU.

Читайте також: Прогноз та прогноз цін Curve DAO на 2024, 2025, 2030 роки

Стратегія хакера, пов’язана з токенами CRV

Щоб повністю зрозуміти те, про що ми говорили вище, давайте пояснимо, як відбулося використання криптоексплойту UwU та його вплив на токен CRV. Спочатку криптоексплойтер скористався вразливим кодом внутрішніх оракулів цін протоколу, компонентом, який визначає ціни активів. Після того, як хакер витягнув різні криптоактиви, він/вона вніс CRV на LlamaLend, що дозволило йому/їй позичити понад 8 мільйонів crvUSD. В результаті експлойтер зміг обміняти токени CRV за кращим курсом.

Однак команда UwU призупинила транзакції, коли вони виявили вразливість. У намаганні пом’якшити вплив вразливості на користувачів, платформи встановили ставки на позику та депозити на рівні 0. Також, в спробі залучити хакера повернути криптовалютні здобичі, UwU запропонувала 20% винагороду за білу шапку.

В основному, ця нагорода була вищою, ніж промисловий стандарт у 10%. Команда обіцяла виплатити винагороду в $5 мільйонів у ETH. Будь-хто, хто допоможе зловити нападника, може отримати обіцяний $5 мільйонів. Деякі з криптовалютних активів, які вкрали хакери, були uLUSD, uFRAX, uDAI від UwU, uCRVUSD, uWETH та uUSDT.

Висновок

Curve Finance втратила $100 мільйонів через багатомільйонні ліквідації внаслідок експлойту криптовалюти UwU Lend. Через той же хак UwU Lend втратив активи на суму $20 мільйонів. Тим часом UwU оголосив нагороду у розмірі $5 мільйонів для кожного, хто допоможе знайти атакувальника. Егоров закликав криптовалютні компанії у секторі покращити свої заходи безпеки та мати постійні перевірки для запобігання майбутнім хакерським атакам.