Brzi pregled
- Belobradi operater MEV bota pod imenom ‘c0ffeebabe.eth’ etički je vratio 2.879 ETH (5,4 miliona dolara) Curve Finance-u.
- Bot je pretekao zlonamernog hakera i obezbedio sredstva koja su kasnije vraćena Curve-u.
U činu etičkog hakovanja, operater MEV bota pod imenom ‘c0ffeebabe.eth’ vratio je 2.879 ETH (vrednost oko 5,4 miliona dolara) Curve Finance-u. Sredstva su bila preusmerena iz CRV-ETH likvidnosnog bazena tokom napada.
Curve je juče doživeo veliki napad koji se odvijao u dve različite faze. Prvo je otuđeno oko 26 miliona dolara zbog ranjivosti reentrancy u njegovim fabričkim bazenima. To je negativno uticalo na više projekata, uključujući JPEG’d, Metronome i Alchemix.
Ovaj početni napad je bio praćen drugom fazom u kojoj je iz CRV-ETH bazena Curve Finance-a ispražnjeno 7,1 miliona CRV (4,4 miliona dolara) i 7.680 umotanih ethera (14,37 miliona dolara).
Koristeći MEV bota, etički haker c0ffeebabe.eth je uspeo da pretekne zlonamernog hakera i obezbedi pomenutih 2.879 ETH tokom druge faze. Ova suma je kasnije vraćena od strane c0ffeebabe.eth na Curve deployer adresu, pretpostavljeno njegovom pravom čuvaru, prema analizi na lancu.
Kod ranjivosti pod lupom
Incident sa Curve-om je izazvan ranjivošću u zastareloj verziji Vyper programskog jezika koja je omogućila reentrancy probleme u Curve-ovom pametnom kodu. Ova propust je omogućio napadačima da preusmere sredstva iz nekoliko projekata.
Bezbednosna firma PeckShield je procenila da, s obzirom na ovu ranjivost i kasnije zlonamerne aktivnosti, ukupna sredstva preusmerena iz Curve bazena iznose 52 miliona dolara. Međutim, nakon intervencije c0ffeebabe.eth, izgubljeni iznos se smanjuje na 46,5 miliona dolara.
Ukupna vrednost zaključanih sredstava (TVL) Curve Finance-a je pretrpela strm pad od napada, sa 3,26 milijarde dolara 30. jula na 1,74 milijarde dolara, što predstavlja gotovo 46% pad u roku od 24 sata, prema podacima sa DefiLlama.