Curve היא בורסת מבוזרת המתמקדת במטבעות דיגיטליים יציבים (Stablecoins) ונחשבת לאחת מהפופולריות ביותר בלב תעשיית הכלכלה המבוזרת (DeFi).
אמש, צייץ העמוד הרשמי של הפרויקט כי התגלתה פרצת אבטחה במאגרי נזילות של מטבעות יציבים הנשענים על גרסאות התוכנה Vyper 0.2.15, 0.2.16 ו-0.3.0.
פרצת האבטחה העמידה 100 מיליון ד' שווי מטבעות דיגיטליים בסיכון למתקפת Re-entrancy, ובינתיים כ-47 מיליון ד' שווי קריפטו נגנבו.
"החקירה עדיין בעיצומה אך אם הפרויקט שלכם נשען על הגרסאות הללו – צרו עמנו קשר בהקדם," כתבו Vyper ב-X.
מתקפת Re-entrancy היא סוג מתקפה במסגרתה חוזה חכם מאפשר לתוקף להוציא לפועל פונקציה מספר פעמים לפני שהקריאה הקודמת הסתיימה. דמיינו למשל כי יש לכם חשבון בנק מקוון ואתם מעוניינים לשלוח 10$ לחברכם. היתרה שלכם היא 100$, בעוד ששלו הינה 0$.
קיימת פונקציה שמאפשרת לכם לשלוח כסף לחשבון שלו, ולאחר מכן לעדכן את היתרות בחשבונכם ובחשבונו של חבריכם.
כעת, דמיינו כי תוקף מצא פרצת אבטחה בקוד הפונקציה שמאפשרת לו לבצע את פעולת ההעברה מספר פעמים לפני שעודכנה היתרה. כך, יוכל התוקף לבצע את פונקציית העברת הכסף (10$), מספר פעמים עד שהוא מרוקן למעשה את היתרה בחשבון, שכן הוא מצליח להקדים את המועד שבו היא מתעדכנת.
בחזרה לקריפטו, המשמעות היא שתוקפים הצליחו למשוך מטבעות ממאגרי נזילות (Liquidity Pools) על Curve ללא עדכון היתרה בין לבין. כך, ממאגר הנזילות של Alchemix נגנבו כ-13.6 מיליון ד', מ-JPEGd כ-11.4 מיליון ד', ומ-Metronome כ-1.6 מיליון.
מנכ"ל Curve, מיכאל אגורוב, אישר כי 32 מיליון טוקני CRV נגנבו גם כן, בשווי של כ-22 מיליון ד'.
פרויקטים נוספים מצויים בסיכון מפרצת האבטחה, ככל שהם משתמשים בגרסאות המדוברות של Vyper גם כן. על פי הערכות מדובר בכ-230 חוזים חכמים שחשופים לפרצת האבטחה.
הכשרה ייחודית בתחום הבלוקצ'יין
המסלול שיכשיר אתכם להיות מומחים בתחום החם ביותר
הם כבר בפנים:
ללמוד מהמובילים בתעשייה ולשדרג את העתיד שלכם!
המסלול שיכשיר אתכם להיות מומחים בתחום החם ביותר
הטוקן CRV קורס
באופן שאינו מפתיע, הטוקן CRV המשויך עם הפרוטוקול Curve נפל הלילה כ-20% מ-0.73$ ועד 0.58$. מאז, הספיק לחזור מעט לעבר ל-0.64$.
הנזילות מן המטבע פחתה משמעותית לאור פניקה ששוררת כרגע בשוק ה-DeFi, ומשיכות המוניות ממאגרי נזילות שעשויים להיות חשופים.
בינתיים, הסוחרים מצפים שפלטפורמת Uniswap והטוקן UNI יהיו המרוויחים העיקריים, כמתחרים של Curve.
המסחר בחוזים מתמשכים (Perpetual Futures) נסחר בפרמיה של כ-20% כלומר ישנם משמעותית יותר סוחרי לונג (המהמרים על עליות) ביחס לירידות, וכך גם פרמיה ביחס להימורים על Curve והטוקן CRV.
שווי הנכסים הנעולים על Curve נפל מ-3.2 מיליארד ד' ל-1.8 מיליארד ד' מאז הפריצה, בעוד שב-Uniswap לא הושפע ונשאר על 3.8 מיליארד ד' וב-Aave חווה ירידה קלה מ-5.85 מיליארד ד' ל-5.37 מיליארד.
המרוויח הגדול? MEV
הזעזוע שחווה האקוסיסטם של Curve הוביל לכך שישנם צדדים מנצחים, מלבד ההאקרים. הצד הזה הוא 'הטיפים', הידועים כ-MEV (ר"ת Maximal Extractable Value) שמחולקים למאמתי אתריום.
לאור הרצון לסגור פערי ארביטראז' או לפעול במהירות על מנת להזיז כספים, מאתמול שולמו כ-6,006 מטבעות ETH בשווי של כ-11 מיליון דולר למאמתים על מנת להגביר את מהירות העסקאות.
הקפיצה ככל הנראה מייצגת את המלחמה בין ההאקרים הלבנים (White Hackers) שניסו להציל כספים מתוך מאגרי הנזילות על ידי משיכתם במהירות, לבין ההאקרים הזדוניים שחיפשו לגנוב אותם.
בשבוע האחרון סקרנו את הסטארטאפ Flashbots שהוקם כדי לפתור את בעיית ה-MEV והניצול שלה, וגייס 60 מיליון ד' לפי שווי של 1 מיליארד ד' בדרך לשם.