Curve'ye yapılan saldırının tüm hikayesine bakıldığında, DeFi üzerindeki potansiyel etki yeni mi başladı?

yazar: bankasız

Derleyen: Felix, PANews

Akıllı sözleşme programlama dili Vyper'daki güvenlik açıkları, fonlama havuzları tükenirken ve tasfiye tehdidi belirirken DeFi'yi bulaşma olayları riskine soktu.

Saldırı Vektörleri

31 Temmuz'un erken saatlerinde, akıllı sözleşme programlama dili Vyper, Vyper 0.2.15, 0.2.16 ve 0.3.0 sürümlerinin yeniden giriş önleme kilitlerinin geçersiz olduğunu tweetledi. Kötü niyetli aktörler, sözleşmeleri tekrar tekrar imzalamak için yeniden giriş saldırıları kullandı, bu da yetkisiz işlemlere veya fonların çalınmasına yol açtı. Sonuç olarak, Curve Finance dahil bazı önemli projeler saldırıya uğradı ve başlangıçta istismar edildiği tahmin edilen miktar şu kadar yüksekti: 70 milyon dolar. Bu fonların bir kısmı beyaz şapkalı bilgisayar korsanları ve MEV botları tarafından tutulur ve kurtarılabilir.

Eğri Bomba

Curve ekosistemindeki dört fon havuzu CRV/ETH, alETH/ETH, msETH/ETH ve pETH/ETH saldırıya uğradı ve borç verme protokolü Alchemix'ten, sentetik varlık Metronome'dan 45 milyon dolardan fazla likidite aktarıldı. NFT borç verme platformu JPEG'd Loss havuzda, CRV/ETH havuzundan yaklaşık 25 milyon dolar aktı. Potansiyel olarak etkilenen başka bir havuz, Arbitrum Tricrypto havuzudur, ancak denetçiler ve Vyper geliştiricileri henüz istismar edilebilir güvenlik açıkları bulamadılar.

Ayrıca, DefiLlama verilerine göre, Curve Finance'in toplam kilitlenme hacmi (TVL) 30 Temmuz'daki 3.266 milyar ABD dolarından 24 saatlik %42.78'lik düşüşle 1.869 milyar ABD dolarına düştü.

CRV****Fiyat Dalgalanması

Merkezi borsalar, CRV fiyatının 0,583 dolarda dip yaptığını gösterdi, ancak token zincirde 0,109 dolara düştü. CRV/ETH havuzu hacklendikten sonra CRV'nin zincirdeki likiditesi zayıfladı ve zincirde fiyat dalgalanmalarına neden oldu.

CRV'nin acımasız satışına rağmen bilgisayar korsanları yine de para kazandı. İyileşme başarısızlığı, borç verme protokolü üzerinde ciddi etkileri olabilecek CRV'nin satılmasına neden olacaktır. Şu anda, cüzdanda hala 7 milyon CRV (yaklaşık 4,5 milyon dolar) bulunuyor.

Ödünç Alma Uyarısı

Curve'nin kurucusu Michael Egorov, en büyüğü Aave'de olan çok sayıda kredi protokolünde CRV'sine karşı çok sayıda kredi güvence altına aldı. CRV fiyatı tasfiye eşiğine ulaşırsa, protokol CRV pozisyonunu tasfiye etmeye zorlanacaktır. Şifreleme araştırmacısı 0xLoki'nin istatistiklerine göre, Michael Egorov şu anda 292 milyon CRV'yi (181 milyon ABD doları) ipotek ediyor ve 110 milyon ABD doları borç veriyor;

1. 190 milyon CRV, AAVE'de ipotek edilmiş ve 0,37 USD tasfiye bedeli ile 65 milyon USD borçlanmıştır;

2. FRAXlend'de 46 milyon CRV ipotek edin, 21 milyon FRAX ödünç alın ve tasfiye fiyatı 0,4 USD'dir;

3. Abracadabr 40 milyon CRV yatırdı, 18 milyon ABD doları borç verdi ve tasfiye fiyatı 0,39 ABD doları;

4. Inverse'e 16 milyon CRV yatırın, 7 milyon ABD doları borç verin ve tasfiye fiyatı 0,4 ABD dolarıdır.

Son 6 saat içinde Egorov, AAVE ve Abracadabra'da yaklaşık 10 milyon CRV'lik bir depozito yaptı.

İade****Para Çılgınlığı

Michael Egorov, satış sırasında tasfiye edilmekten kaçınmak için kredi borçlarını ödüyor. Michael Egorov'un Aave'deki kredisi için yeni tasfiye eşiği, geri ödeme çabaları ışığında 0,37 $'a düşürüldü.

UYARI

Zincir üstü likiditenin, Michael Egorov'un pozisyonunu tasfiye etmek için yetersiz olduğu biliniyor. Geçen ay, DeFi risk yönetimi firması Gauntlet, Aave'nin CRV pazarını dondurmaya çalıştı, ancak teklifleri oybirliğiyle reddedildi.

Curve'ün CRV/ETH havuzundaki likidite ortadan kalktı. CRV likiditesinin Gauntlet'in önerdiğinden bile daha düşük olması nedeniyle, pozisyonlar tasfiye edilirse kötü borç kaçınılmaz görünüyor.

DeFi Taşması

Kötü borç durumunda, borç verme sözleşmesi sigorta fonlarını kullanmalıdır. Örneğin, Aave herhangi bir açığı kapatmak için güvenlik modülünden AAVE tokenleri satacak, ancak satış kalan teminatın değerini azaltacaktır.

Likidite Etkisi

Yaygın volatilite ve kalan bilinmeyenler, birçok kişinin Curve'den likiditeyi kaldırmasına neden olacaktır. Curve ve diğer zincir üstü DEX'lerdeki likidite azalmaya devam ettikçe, fiyatlar giderek daha değişken hale gelecek.

Borç Verenlerin Para Çekme

Borç verenler, para piyasası anlaşmalarından para çekmek için yarışıyorlar. Aave'nin USDT havuzunun kullanım oranı %50'yi aştı ve borçlanma oranı %91'e çıkarak Michael Egorov'un konumu üzerinde büyük bir baskı oluşturdu: faiz oranı düşmezse birkaç gün içinde tasfiye edilecek.

Curve havuzlarına zarar verilmiş olsa da, bu istismarın DeFi üzerindeki potansiyel etkisi daha yeni başlamış olabilir. CRV piyasalarıyla yapılan kredi anlaşmaları, iflas etmese bile bazı ciddi kötü borçlar riski altındadır.

İlgili okuma: 50 milyon ABD dolarından fazla kayıp, Vyper programlama dilinin başarısızlığından kaynaklanan seri saldırıları çözmeye yönelik bir makale