Исследователь безопасности получил награду в размере $250 тыс. за выявление уязвимости в DeFi-платформе Curve Finance
Summary:
Эксперт по кибербезопасности Марко Крок обнаружил уязвимость в децентрализованной финансовой платформе Curve Finance, которая исторически позволяла хакерам красть миллионы. Curve Finance вознаградила его своей самой высокой наградой за ошибку в размере 250 000 долларов после проверки этой уязвимости. Протокол DeFi в настоящее время восстанавливается после последнего взлома на сумму 62 миллиона долларов, возмещая поставщикам ликвидности 49,2 миллиона долларов. Ранее злоумышленник использовал слабое место в некоторых версиях языка программирования Vyper, что делало эти версии уязвимыми для атак с повторным входом.
Эксперт по кибербезопасности получил 250 000 долларов после того, как обнаружил критическую ошибку, которая традиционно позволяла хакерам красть миллионы с криптовалютных платформ. Марко Крок, следователь по безопасности под псевдонимом из Kupia Security, обнаружил лазейку в платформе децентрализованных финансов (DeFi) Curve Finance. Он рассказал о том, как этот сбой может быть использован для фальсификации балансов и вывода средств из пулов ликвидности в онлайн-потоке.
По словам Марко Крока, Curve Finance подтвердила потенциальные нарушения безопасности и оценила интенсивность обнаруженного несоответствия. Всесторонняя проверка привела к тому, что Curve Finance предоставила Марко Кроку самое существенное вознаграждение в размере 250 000 долларов.
Несмотря на классификацию угрозы как «менее опасную», Curve Finance подтвердила свою веру в свою способность вернуть любые украденные средства в таких обстоятельствах. Тем не менее, в соответствии с протоколом, любое нарушение безопасности потенциально могло бы вызвать массовую панику, если бы оно произошло.
Curve Finance восстанавливается после взлома на 62 миллиона долларов, который произошел в июле. На пути к восстановлению протокол DeFi решил выплатить поставщикам ликвидности активы на сумму 49,2 миллиона долларов. Данные блокчейна подтверждают, что 94% держателей токенов одобрили распределение токенов на сумму более 49,2 миллиона долларов, чтобы компенсировать потери, понесенные пулами Curve, JPEG'd, Alchemix и Metronome.
Согласно плану Curve, токены будут предоставлены фондом сообщества Curve DAO. При расчете окончательной суммы учитывался вычет за токены, полученные после инцидента. В предложении говорится: «Общая сумма ETH, подлежащая возмещению, была оценена в 5919,2226 ETH, CRV, подлежащий восстановлению, была оценена в 34 733 171,51 CRV, а сумма, подлежащая распределению, была оценена в 55'544'782,73 CRV».
Злоумышленник воспользовался слабым местом в стабильных пулах, использующих определенные версии языка программирования Vyper. Из-за этого сбоя версии 0.2.15, 0.2.16 и 0.3.0 Vyper были восприимчивы к атакам с повторным входом.
Published At
5/1/2024 1:33:33 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.