Дмитрий КоноваловНедавний инцидент с Curve Finance вызвал бурю реакций в криптосообществе. Это происшествие не только нанесло репутационные риски всей индустрии DeFi, но и высветило потенциальные угрозы для сектора. Глобальные последствия хакерской атаки предотвращены, а часть средств успешно возвращена. Разработчики уже преступили к разработке превентивных инструментов, которые позволят предотвратить подобные ситуации в будущем.
Что такое Curve Finance
Curve Finance – это децентрализованная биржа на блокчейне Ethereum, специализирующаяся на обмене стейблкоинов. Основное преимущество площадки заключается в минимальных служебных потерях и высокой эффективности при обмене между схожими активами. Протокол использует уникальные алгоритмы кривых для оптимизации обменов и предоставления ликвидности. Пользователи могут зарабатывать на предоставлении своей ликвидности в различные пулы Curve. Кроме того, проект имеет собственный управляющий токен CRV, который используется для участия в управлении протоколом.
Что произошло с Curve
30 июля группа хакеров воспользовалась уязвимостями контрактно-ориентированного языка программирования Vyper, получив несанкционированный доступ к пулам ликвидности. Злоумышленники украли свыше $50 млн в разных криптовалютах. Из-за уязвимости в результате происшествия под угрозой оказалось более 450 пулов. Наибольший ущерб был нанесен пулам pETH/ETH, msETH/ETH, alETH/ETH и CRV/ETH. Атака напрямую затронула следующие проекты:
- Alchemix;
- JPEG’d;
- MetronomeDAO;
- Ellipsis;
- deBridge.
Если такой крупный протокол может стать жертвой атаки, возникают вопросы о безопасности других крупных проектов, таких как Aave, Compound и Uniswap. Протоколы, активы которых пребывают в прямой зависимости от ликвидности токена CRV, также могут столкнуться с рисками. Перед разработчиками стоит сложная задача – нивелировать потенциальные угрозы в будущем.
После хакерской атаки, аналитики некоторых компаний опубликовали в соцсети X (ранее известной как Твиттер) информацию, содержащую выдержки из открытого кода Vyper, что раскрывало детали уязвимости. Это действие было воспринято сообществом как неответственное и вызвало его резкое осуждение. В результате, упомянутые публикации были удалены. Марк Лецюк заявил, что такие твиты позволили другим хакерам «присоединиться к взлому», ухудшив ситуацию. Он подчеркнул, что во время инцидента раскрывать такую информацию публично недопустимо, особенно ради пиара.
Curve вернула 70% украденных взломщиком средств
Благодаря усилиям сообщества и «белых» хакеров, платформа смогла вернуть значительную часть украденных средств, включая 2879,65 ETH, похищенные из пула CRV/ETH. После инцидента были предприняты меры для устранения уязвимости в компиляторе Vyper. Разработчики уточнили, что злоумышленнику пришлось тщательно изучить историю версий, чтобы обнаружить эту уязвимость.
Как взлом Curve отразится на будущем проекта
Непосредственно сам факт взлома может подорвать доверие к децентрализованным финансам. Однако, несмотря на текущие трудности, многие эксперты и инвесторы, такие как соучредитель Huobi Джун Ду, верят в долгосрочный потенциал и стабильность Curve. Этот инцидент может стать уроком для всего DeFi-сектора, подчеркивая необходимость усиленной безопасности и прозрачности.
Джастин Сан, сооснователь Tron, активно поддержал Curve Finance в трудное для них время. Он перевел перевел 2 млн USDT в обмен на 5 млн токенов CRV, что приблизительно эквивалентно $2,9 млн по текущему курсу. Эта покупка была совершена по цене, которая была ниже рыночной – $0,4 за токен.
Более того, Сан объявил о партнерстве между Tron и Curve. В рамках этого партнерства оба проекта планируют интегрировать пул ликвидности для stUSDT. Сан выразил свою радость по поводу помощи Curve, подчеркивая, что как постоянные партнеры, они всегда готовы поддерживать друг друга в трудные времена. Он также упомянул, что совместные усилия обоих проектов позволят внедрить пул stUSDT на Curve, что принесет дополнительные преимущества для пользователей обеих платформ.
Заключение
- 30 июля хакеры взломали Curve через уязвимости в компиляторе Vyper. Им удалось украсть порядка $50 млн.
- С помощью криптосообщества и поддержки «белых» хакеров удалось вернуть 70% от украденной суммы.
- Curve получил поддержку от Tron и Huobi, но инцидент нанес серьезный репутационный ущерб всему DeFi сегменту.