Исследователь безопасности получил вознаграждение в размере 250 000 долларов за обнаружение уязвимости, которая исторически позволяла хакерам выводить миллионы долларов из протоколов криптовалюты.
Исследователь кибербезопасности под псевдонимом Марко Крок из Kupia Security обнаружил уязвимость повторного входа в протоколе децентрализованного финансирования (DeFi) Curve Finance.
В ветке X он объяснил, как эту ошибку можно использовать для манипулирования балансами и вывода средств из пулов ликвидности.
Curve Finance признала потенциальные недостатки безопасности и «признала серьезность уязвимости», объяснил Марко Крок. После тщательного расследования Curve Finance присудила Марко Кроку максимальную награду за обнаружение ошибок в размере 250 000 долларов США.
Источник: Curve Finance.
По данным Curve Finance, угроза была отнесена к категории «не столь опасной», и они полагали, что в таком случае смогут вернуть украденные средства.
Майнинг-оборудование можно разделить на несколько типов в зависимости от технологий и назначения. ASIC-майнеры — это устройства, предназначенные для добычи конкретных криптовалют, как Bitcoin, с высокой производительностью и низким энергопотреблением. Однако, они ограничены в универсальности и быстро устаревают.
GPU-фермы используют видеокарты для майнинга криптовалют с параллельной обработкой данных, таких как Ethereum. Это более универсальное оборудование, которое можно адаптировать под различные криптовалюты, но оно требует больших затрат на энергию и сложной настройки.
Однако в протоколе говорится, что инцидент безопасности любого масштаба «мог бы вызвать серьезную панику, если бы он произошел».
Curve Finance только недавно оправилась от взлома на 62 миллиона долларов, который произошел в июле 2023 года. В рамках возвращения к нормальной жизни протокол DeFi проголосовал за возмещение активов на сумму 49,2 миллиона долларов поставщикам ликвидности (LP).
Источник: Curve Finance.
Данные блокчейна подтверждают, что 94% держателей токенов одобрили выплату токенов на сумму более 49,2 миллиона долларов для покрытия убытков пулов Curve, JPEG (JPEG), Alchemix (ALCX) и Metronome (MET).
Согласно предложению Curve, фонд сообщества будет поставлять токены Curve DAO (CRV). Окончательная сумма также включает вычет за токены, восстановленные после инцидента.
«Общая сумма ETH для восстановления была рассчитана как 5 919,2226 ETH, CRV для восстановления была рассчитана как 34 733 171,51 CRV, а общая сумма для распределения была рассчитана как 55 544 782,73 CRV», — говорится в предложении.
Злоумышленник воспользовался уязвимостью в стабильных пулах, используя некоторые версии языка программирования Vyper. Эта ошибка была выявлена в версиях Vyper 0.2.15, 0.2.16 и 0.3.0. Следовательно, они уязвимы для повторных атак.
CPU-майнинг использует мощности процессоров для добычи криптовалют, устойчивых к ASIC, например, Monero. Такой способ подходит для новичков, но имеет низкую производительность и приводит к быстрому износу процессора.
HDD/SSD-майнинг использует жёсткие диски или твердотельные накопители для добычи криптовалют с алгоритмом Proof-of-Space (например, Chia). Это более энергоэффективное решение, но с ограниченным выбором криптовалют и быстрым износом накопителей.
