هناك الكثير من الارتباطات والعواطف حول حادث @ResupplyFi ، وهنا أريد أن أقول بضع نقاط ، وآمل أيضا أن أساعدك في توضيح بعض السياق:
بادئ ذي بدء ، لم يشارك فريق @CurveFinance في تطوير إعادة الإمداد ، والتي @newmichwill تم توضيحها علنا أنه لم ينضم أي شخص من داخل Curve إلى المشروع. و Resupply نفسها هي SubDAO من @yearnfi ، والتي تم ذكرها أيضا على Twitter الرسمية. اختارت إعادة الإمداد crvUSD كأحد الأصول الأساسية ، وهو اختيار البروتوكول ولا يعني أن Curve مرتبط بشكل كبير.
ومع ذلك ، كان حدثا مؤسفا. انتهى الأمر @C2tP مطور Resupply بالتبرع بأكثر من 1.39 مليون دولار من جيبه الخاص لسداد الديون المعدومة ، وهذا الموقف المسؤول محترم.
من ناحية أخرى ، أود أيضا أن أتقدم بشكر خاص لرئيس @ohyishi والدور الإشرافي الذي يمثله. ملاحظاته وانتقاداته ومخاوفه بشأن Prisma و Resupply وحتى Curve على Twitter مهمة جدا في الواقع. في عالم DeFi ، التمويل اللامركزي ، بدون هؤلاء الأشخاص الذين يواصلون طرح الأسئلة ، لن نرى المخاطر ولن نتمكن من التقدم.
سواء كانت إيجابية أو سلبية ، فإن هذه الأصوات تجعل البروتوكول على دراية بمخاوف المستخدمين وتعلم فريق المشروع كيفية التعبير عن المجتمع وإدارته والاستجابة له بشكل أكثر وضوحا. الدور الذي يمثله يشي هو مساهمة في حد ذاته. إنه ليس مجرد صواب أو خطأ تقني ، إنه تذكير متبادل بالقيم.
من DeFi Summer إلى اليوم ، شهدنا الكثير من الابتكارات والكثير من الاضطرابات. ولادة Uniswap و Aave و Curve هي نتيجة سلسلة من التجارب التي لا تخاف من الفشل. ولكن في السنوات الأخيرة، اختارت المزيد والمزيد من الاتفاقيات أن تكون متحفظة وتتجنب الابتكار، لأن العقد الجديد قد يعني ملايين الدولارات في خطر.
هذا الركود هو في الواقع خطر أكبر.
بدلا من مجرد تكريم صيف DeFi في الماضي ، يجب أن نسأل: هل يمكننا إنشائه مرة أخرى؟ هل يمكن التسامح مع الفشل وحماية الابتكار والتسامح مع التعلم الجماعي؟
- - - - - روابط ذات صلة - - -
👉🏻
👉🏻
- - - - - روابط ذات صلة - - -
أخيرا ، أنا لست تابعا لفريق إعادة الإمداد بأي شكل من الأشكال ، ولم أشارك في أنشطة التعدين الخاصة به. هذه ليست سوى بعض ملاحظاتي وأفكاري كمتفرج ومشارك في DeFi وباني.
عندما رأى رئيس onekey يدافع عن حقوقه وإعادة الإمداد ، ويفقد بعض أصول M ، أعرب عن أسفه لأن Defi هش للغاية حقا. بعد النظر حولي ، لم أكن واضحا بشكل خاص بشأن كيفية هجوم المتسللين ، لذلك أجريت بعض الأبحاث وشاركتها معك:
بطل الرواية في القصة هو ResupplyPair ، ويمكن للمستخدم الاقتراض والاقتراض عن طريق تخزين الأصول ، ومعدل isSolvent في العقد مسؤول عن التحقق مما إذا كان المستخدم مؤهلا لإقراض الأصول المطلوبة ، ومنطق الكود المحدد هو كما يلي:
يمكنك أن ترى حساب LTV على السطر 282 ، إذا كانت لدينا طريقة لضبط _exchangeRate على 0 ، ألن يكون الفحص صحيحا دائما؟ مواصلة قراءة الكود:
يمكنك أن ترى أن المتغير لهذه القيمة يأتي من استدعاء أوراكل getPrice ، وهو المقام ، بمعنى آخر ، نحتاج إلى جعل سعر الضمان كبيرا للغاية.
عند قراءة كود أوراكل ، يمكنك أن ترى أن getPrice هي مجرد طبقة من إعادة التوجيه ، والتي تستدعي في الواقع واجهة convetToAssets للأصل المخزنة (أي القبو). مواصلة قراءة الكود:
يمكنك أن ترى أن هذه النتيجة تتكون من عمليات رياضية معقدة للغاية ، وهنا يكون المتسلل عن طريق تضخيم الجزيء ، total_assets أخرى ، لإكمال الهجوم ، انظر إلى _total_assets يمكن العثور على تنفيذ الدالة:
ترتبط هذه القيمة ب borrowed_token التي يحتفظ بها عقد التحكم في هذا الخزنة ، وهو crvUSD.
التحليل واضح بالفعل هنا ، تم إنشاء ResupplyPair باستخدام قبو فارغ ، وقام المتسلل بنقل مبلغ معين من borrowed_token إلى عقد وحدة التحكم في القبو ، وأخيرا جعل _exchangeRate يعود إلى الصفر ، بحيث تم تضخيم قيمة أصوله المرهونة بشكل لا نهائي ، وأقرض ما يصل إلى 10 ملايين دولار أمريكي بتكلفة صغيرة جدا.
تداول الهجوم:
عنوان عقد ResupplyPair:
عنوان عقد مراقب الخزينة:
عنوان عقد الخزينة:
عنوان عقد Oracle:
4.12 ألف
0
المحتوى الوارد في هذه الصفحة مُقدَّم من أطراف ثالثة. وما لم يُذكَر خلاف ذلك، فإن OKX ليست مُؤلِّفة المقالة (المقالات) المذكورة ولا تُطالِب بأي حقوق نشر وتأليف للمواد. المحتوى مٌقدَّم لأغراض إعلامية ولا يُمثِّل آراء OKX، وليس الغرض منه أن يكون تأييدًا من أي نوع، ولا يجب اعتباره مشورة استثمارية أو التماسًا لشراء الأصول الرقمية أو بيعها. إلى الحد الذي يُستخدَم فيه الذكاء الاصطناعي التوليدي لتقديم مُلخصَّات أو معلومات أخرى، قد يكون هذا المحتوى الناتج عن الذكاء الاصطناعي غير دقيق أو غير مُتسِق. من فضلك اقرأ المقالة ذات الصِلة بهذا الشأن لمزيدٍ من التفاصيل والمعلومات. OKX ليست مسؤولة عن المحتوى الوارد في مواقع الأطراف الثالثة. والاحتفاظ بالأصول الرقمية، بما في ذلك العملات المستقرة ورموز NFT، فيه درجة عالية من المخاطر وهو عُرضة للتقلُّب الشديد. وعليك التفكير جيِّدًا فيما إذا كان تداوُل الأصول الرقمية أو الاحتفاظ بها مناسبًا لك في ظل ظروفك المالية.