Sicherheitsforscher erhält 250.000 US-Dollar Prämie für die Identifizierung von Schwachstellen in der DeFi-Plattform von Curve Finance
Summary:
Der Cybersicherheitsexperte Marco Croc identifizierte eine erneute Schwachstelle in der dezentralen Finanzplattform Curve Finance, die es Hackern in der Vergangenheit ermöglicht hatte, Millionen zu stehlen. Curve Finance belohnte ihn mit der höchsten Bug-Bounty von 250.000 US-Dollar, nachdem dieser Fehler verifiziert wurde. Das DeFi-Protokoll erholt sich derzeit von einem Hack in Höhe von 62 Millionen US-Dollar und erstattet den Liquiditätsanbietern 49,2 Millionen US-Dollar. Ein Angreifer hat zuvor eine Schwachstelle in einigen Versionen der Programmiersprache Vyper ausgenutzt, wodurch diese Versionen anfällig für Reentrancy-Angriffe wurden.
Ein Cybersicherheitsexperte erhielt 250.000 US-Dollar, nachdem er einen kritischen Fehler identifiziert hatte, der es Hackern traditionell ermöglichte, Millionen von Kryptowährungsplattformen zu stehlen. Marco Croc, ein pseudonymer Sicherheitsermittler von Kupia Security, entdeckte eine Lücke in der dezentralen Finanzplattform (DeFi), Curve Finance. Er skizzierte in einem Online-Thread, wie diese Panne genutzt werden könnte, um Guthaben zu manipulieren und Gelder aus Liquiditätspools abzuheben.
Curve Finance bestätigte die potenziellen Sicherheitslücken und schätzte die Intensität der festgestellten Diskrepanz, so Marco Croc. Eine umfassende Prüfung führte dazu, dass Curve Finance Marco Croc die höchste Bug-Bounty-Belohnung von 250.000 US-Dollar gewährte.
Obwohl Curve Finance die Bedrohung als "weniger gefährlich" einstufte, bekräftigte es seinen Glauben an seine Fähigkeit, gestohlene Gelder unter solchen Umständen zurückzuholen. Nichtsdestotrotz hätte jede Sicherheitsverletzung in jeder Größenordnung möglicherweise eine weit verbreitete Panik auslösen können, wenn sie laut Protokoll stattgefunden hätte.
Curve Finance erholt sich von einem 62-Millionen-Dollar-Hack im Juli. Auf dem Weg zur Erholung beschloss das DeFi-Protokoll, Vermögenswerte in Höhe von 49,2 Mio. $ an Liquiditätsanbietern zurückzuzahlen. Blockchain-Daten bestätigen, dass 94 % der Token-Inhaber der Verteilung von Token im Wert von über 49,2 Millionen US-Dollar zugestimmt haben, um die Verluste auszugleichen, die Curve-, JPEG'd-, Alchemix- und Metronom-Pools erlitten haben.
Gemäß dem Plan von Curve werden die Token vom Community-Fonds der Curve DAO bereitgestellt. Bei den Berechnungen für den endgültigen Betrag wurde der Abzug für Token berücksichtigt, die nach dem Vorfall abgerufen wurden. In dem Vorschlag heißt es: "Die gesamte zurückzuerhaltende ETH wurde auf 5919,2226 ETH geschätzt, die zurückzugewinnende CRV wurde auf 34.733.171,51 CRV geschätzt und die zu verteilende Summe wurde auf 55'544'782,73 CRV geschätzt."
Ein Angreifer nutzte eine Schwachstelle in Stable-Pools aus, die bestimmte Versionen der Programmiersprache Vyper verwendeten. Dieser Fehler machte die Versionen 0.2.15, 0.2.16 und 0.3.0 von Vyper anfällig für Wiedereintrittsangriffe.
Published At
5/1/2024 1:33:33 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.