block-chain24.com
Исследователь безопасности получил вознаграждение в размере 250 000 долларов за обнаружение уязвимости, которая исторически позволяла хакерам выводить миллионы долларов из протоколов криптовалюты.
Исследователь кибербезопасности под псевдонимом Марко Крок из Kupia Security обнаружил уязвимость повторного входа в протоколе децентрализованного финансирования (DeFi) Curve Finance.
В ветке X он объяснил, как эту ошибку можно использовать для манипулирования балансами и вывода средств из пулов ликвидности.
Curve Finance признала потенциальные недостатки безопасности и «признала серьезность уязвимости», объяснил Марко Крок. После тщательного расследования Curve Finance присудила Марко Кроку максимальную награду за обнаружение ошибок в размере 250 000 долларов США.
Источник: Curve Finance.
По данным Curve Finance, угроза была отнесена к категории «не столь опасной», и они полагали, что в таком случае смогут вернуть украденные средства.
Однако в протоколе говорится, что инцидент безопасности любого масштаба «мог бы вызвать серьезную панику, если бы он произошел».
Curve Finance только недавно оправилась от взлома на 62 миллиона долларов, который произошел в июле 2023 года. В рамках возвращения к нормальной жизни протокол DeFi проголосовал за возмещение активов на сумму 49,2 миллиона долларов поставщикам ликвидности (LP).
Источник: Curve Finance.
Данные блокчейна подтверждают, что 94% держателей токенов одобрили выплату токенов на сумму более 49,2 миллиона долларов для покрытия убытков пулов Curve, JPEG (JPEG), Alchemix (ALCX) и Metronome (MET).
Согласно предложению Curve, фонд сообщества будет поставлять токены Curve DAO ($CRV). Окончательная сумма также включает вычет за токены, восстановленные после инцидента.
«Общая сумма $ETH для восстановления была рассчитана как 5 919,2226 $ETH, $CRV для восстановления была рассчитана как 34 733 171,51 $CRV, а общая сумма для распределения была рассчитана как 55 544 782,73 $CRV», — говорится в предложении.
Злоумышленник воспользовался уязвимостью в стабильных пулах, используя некоторые версии языка программирования Vyper. Эта ошибка была выявлена в версиях Vyper 0.2.15, 0.2.16 и 0.3.0. Следовательно, они уязвимы для повторных атак.