Brzi pregled
- Poverenje u DeFi je “definitivno poljuljano” nakon iskorišćavanja likvidacionog bazena Curve Finance u vrednosti od 24 miliona dolara.
- Institucije bi mogle biti obeshrabrene da deponuju kapital u DeFi, a “svaki protokol koji je kompajliran sa Vyper-om može biti u opasnosti”, prema istraživačima.
Vikend iskorišćavanje koje je ciljalo Curve Finance poljuljalo je poverenje u decentralizovane finansije.
DeFi protokol je doživeo iskorišćavanje nekoliko svojih likvidacionih bazena u nedelju kao rezultat greške u pametnim ugovorima koji koriste verzije Vyper programskog jezika. Napadači su ukrali 24 miliona dolara, a nekoliko bazena stabilnih kovanica koji koriste Vyper ugovore je ispražnjeno zbog ranjivosti re-entrancy.
Token Curve DAO je pao preko 12% u poslednjih 24 sata na $0.63, prema CoinGecko. Istraživač koji se predstavlja kao Ignas Defi Research je rekao da je pad signalizirao pucanje poverenja u decentralizovane finansije.
“Poverenje u DeFi je definitivno poljuljano, ako protokol koji je tri godine radio bez problema bude iskorišćen, postavlja se pitanje koliko su sigurni drugi blue-chip protokoli poput Aave, Compound ili čak Uniswap,” rekao je Ignas za The Block. “Već postoje zabrinutosti da bi Uniswap v4, sa svojim monolitnim dizajnom pametnih ugovora, bio rizičniji ako bude hakovan, jer bi sav novac bio odmah ugrožen.”
Hak nije bio značajan samo zbog miliona dolara koji su bili u igri, već i zbog iskorišćavanja neočekivane ranjivosti u Vyper kodu.
“Najgore kod Curve hakovanja je to što to nije nešto što bi tipični istraživač tražio, oni su duboko kopali u našoj istoriji izdanja da bi pronašli ranjivu tačku za veliki protokol sa milionima u igri, ovo je zahtevalo značajnu količinu vremena da se identifikuje,” rekao je vodeći saradnik Vyper jezika.
Iskorišćavanje Curve Finance podiže šire zabrinutosti
Ignas je rekao da iskorišćavanje “izaziva zabrinutost da bi svaki protokol kompajliran sa Vyper-om mogao biti u opasnosti.” Istraživač je naglasio da su hakeri iskoristili Vyper kompajler, a ne same pametne ugovore Curve-a.
“Niko se nije fokusirao na sam Vyper kompajler, a to je zabrinjavajuće jer sada svaki protokol kompajliran sa Vyper-om može biti u opasnosti,” dodao je Ignas.
Ignas je istakao 100 miliona dolara u likvidacijama na Aave, Frax i Abracadabra nakon napada. “Likvidacije bi mogle ostaviti ove protokole sa lošim dugom, što znači da neki korisnici ne bi mogli povući svoj deponovani kapital.”
Istraživač je dodao da nekoliko protokola koji zavise od Curve-a, poput Frax-a i Alchemix-a, zavise od CRV likvidnosti za svoje sintetičke imovine.
Institucionalna reakcija
Hak bi mogao biti prepreka za institucionalno usvajanje DeFi-a i njegovu upotrebu u velikoj meri. Iskorišćavanje Curve Finance dolazi nakon izveštaja iz juna koji navodi da je samo u drugom kvartalu 2023. godine preko 204 miliona dolara iscurilo kroz DeFi hakove i prevare.
“Institucije bi mogle biti obeshrabrene da deponuju značajan kapital u DeFi u kratkom roku, na primer, Projekat Mariana, koji uključuje BIS Innovation Hub, Bank of France, Monetary Authority of Singapore i Swiss National Bank, su istraživali Curve v2 HFMM za on-chain veleprodajne CBDC bazene. Da li će biti oprezni u daljem napredovanju nakon hakovanja? Vreme će pokazati,” dodao je Ignas.
Ignas je rekao da je iskorišćavanje pokazalo da promene u kompajlerima moraju biti pregledane, što će biti skupa lekcija za industriju.
“Definitivno je mračan dan u DeFi-u, ali izgubljeni novac i vektor napada nisu smrtonosni ni za Curve ni za sam ekosistem DeFi-a,” dodao je Ignas.