Криптовалюта та протоколи DeFi стикаються з дедалі більшими проблемами через уразливості та, як наслідок, втрату коштів. Оскільки проблеми тривають, ті, хто їх виявив, зробили свій внесок у справу децентралізованих фінансів. У великому відкритті експерт з кібербезпеки виявив уразливість у протоколі Curve Finance, яка могла використовуватися для виведення коштів із пулу ліквідності.

Протоколи та вразливості криптовалюти

За оцінками, збитки становили 758 мільйонів доларів через уразливості в протоколах DeFi у третьому кварталі 2023 року. Було зафіксовано приголомшливі 116 випадків, які показують, що існує нагальна потреба у підвищенні безпеки. Для цього необхідно залучити робочу силу для виявлення вразливостей і вирішення проблем.

Нещодавно було виявлено, що протокол Curve Finance виявив уразливість у системі DeFi. Ця вразливість має історичне значення, оскільки вона призвела до втрати мільйонів доларів протягом багатьох років. Уразливість призвела до доступу хакерів до пулу ліквідності протоколу та вилучення коштів. 

У 2023 році було здійснено низку атак на безпеку, і хакери зосередилися на вразливості смарт-контрактів, атаках повторного входу та атаках маніпуляції Oracle. Перший має критичне значення, оскільки якщо хакер зможе виявити вразливість, він може використати її в негативних цілях, вплинувши на кошти та безпеку протоколу.  

Заява про ключову вразливість у Curve Finance та інших протоколах надійшла від експерта з кібербезпеки Марка Крока. Представник служби безпеки Kupia Марк Крок сказав, що вразливість призвела до втрати коштів із пулу ліквідності. Згаданий експерт з кібербезпеки також додав, що це призвело до втрат мільйонів від різних протоколів. 

Вразливість повторного входу в Curve Finance

Уразливість reenetracy була перевірена командою розробників з Curve Finance. У детальному огляді вони змогли це ідентифікувати та підтвердити. Згідно з офіційними джерелами, помилка могла маніпулювати балансами протоколу DeFi. Маніпулювання балансами також може призвести до вилучення коштів із пулу ліквідності.

Велика подяка за розкриття! Скорботні атаки не такі небезпечні (кошти в будь-якому випадку можна було б відновити, а зловмисник не отримував прибутку) – могли б викликати серйозну паніку, якби це сталося. Це приклад дуже професійної роботи

— Curve Finance (@CurveFinance) 30 квітня 2024 р

Згідно з джерелами Curve Protocol, помилка не становила загрози існуванню, але могла викликати паніку, якщо трапився такий інцидент. Крім того, компанія вважала, що зможе повернути кошти, якщо такий інцидент трапиться. У липні Curve Finance вдалося повернути кошти на суму 62 мільйони доларів, які були вкрадені після того, як хакери виявили вразливість. 

Крім того, учасники протоколу погодилися повернути активи на суму 49,2 мільйона доларів постачальникам ліквідності. Він оголосив про відновлення активів ETH, CRV та інших активів, які були відновлені хакерами whitehat. 

Протокол Curve висунув пропозицію, що фонд спільноти постачатиме токени CRV. Зловмисники виявили вразливість у мові Vyper, де проблеми були виявлені у версіях 0.2.15, 0.2.16 і 0.3.0.

Розробник винагородив 250 тисяч доларів

Це була критична проблема, яка створила б проблеми для команди розробників через зростання паніки серед користувачів та інвесторів. Щоб швидко зіткнутися з проблемою, експерт з кібербезпеки визначив проблему, не розкриваючи свою особу. 

🐞Я повідомив про вразливість у @CurveFinance, і я радий повідомити, що отримав винагороду за помилки у розмірі 250 000 доларів США. 🧵

— Марко Крок (@malicator) 30 квітня 2024 р

Щойно проблема була підтверджена, протокол присудив whitehat максимальну премію за помилку в розмірі 250 тисяч доларів. Whitehat поділився деталями в ланцюжку X, подякувавши Curve Finance. Крім того, обліковий запис поділився деталями того, як вразливість вплине на протокол. 

Висновок

У нещодавньому твіті експерта з кібербезпеки whitehat Марк Крок оголосив про виявлення вразливості в Curve Finance. Команда розробників підтвердила та вирішила проблему, оголосивши винагороду в розмірі 250 тисяч доларів США за згадану білу шапку. Хоча проблема не була загрозою існуванню, вона б викликала паніку.