V souvislosti s nehodou v @ResupplyFi existuje mnoho asociací a emocí a zde chci říci několik bodů a také doufám, že vám pomohu objasnit některé souvislosti:
Za prvé, tým @CurveFinance se nepodílel na vývoji Resupply, což bylo @newmichwill veřejně objasněno, že se do projektu nezapojil nikdo z Curve. A samotné Resupply je SubDAO společnosti @yearnfi, což je také uvedeno na jejich oficiálním Twitteru. Společnost Resupply si vybrala crvUSD jako jedno z podkladových aktiv, což je volba protokolu a neznamená to, že Curve spolu nějak podstatně souvisí.
Přesto to byla politováníhodná událost. Vývojář společnosti Resupply, @C2tP nakonec daroval více než 1,39 milionu dolarů z vlastní kapsy na splacení nedobytných dluhů a tento zodpovědný přístup je úctyhodný.
Na druhou stranu bych také rád vyjádřil zvláštní poděkování @ohyishi šéfovi a dozorčí roli, kterou zastupuje. Jeho postřehy, kritika a obavy týkající se Prismy, Resupply, a dokonce i Curve na Twitteru jsou ve skutečnosti velmi důležité. Ve světě DeFi, decentralizovaných financí, bez těchto lidí, kteří stále kladou otázky, neuvidíme rizika a nebudeme schopni pokročit.
Ať už jsou tyto hlasy pozitivní nebo negativní, upozorňují protokol na obavy uživatelů a učí projektový tým, jak jasněji formulovat, řídit a reagovat na komunitu. Role, kterou Yishi představuje, je přínosem sama o sobě. Není to jen o technickém pořádku nebo nepořádku, je to vzájemné připomenutí hodnot.
Od DeFi Summer až po dnešek jsme viděli spoustu inovací a spoustu narušení. Zrození Uniswapu, Aave a Curve je výsledkem řady experimentů, které se nebojí neúspěchu. V posledních letech se však stále více dohod rozhodlo být konzervativní a vyhýbat se inovacím, protože nová smlouva by mohla znamenat miliony dolarů v ohrožení.
Tato stagnace je ve skutečnosti větším rizikem.
Místo toho, abychom jen uctívali DeFi léto minulosti, měli bychom se ptát: můžeme ho vytvořit znovu? Lze tolerovat selhání, chránit inovace a tolerovat kolektivní učení?
- - - - - - Související odkazy - - - - - - -
👉🏻
👉🏻
- - - - - - Související odkazy - - - - - - -
A konečně, nejsem žádným způsobem spojen s týmem Resupply, ani jsem se nepodílel na jeho těžebních aktivitách. To jsou jen některé z mých postřehů a myšlenek jako přihlížejícího, účastníka DeFi a stavitele.
Když viděl, jak šéf onekey hájí svá práva a zásobuje se, ztrácí několik aktiv M, posteskl si, že Defi je opravdu příliš křehké. Když jsem se rozhlédl kolem, nezdálo se mi, že by mi bylo nějak zvlášť jasné, jak hackeři útočí, a tak jsem si sám udělal průzkum a podělil se o něj s vámi:
Hlavním hrdinou příběhu je ResupplyPair, uživatel si může půjčovat a půjčovat sázením aktiv a modifikátor isSolvent ve smlouvě je zodpovědný za kontrolu, zda je uživatel způsobilý půjčit požadovaná aktiva, konkrétní logika kódu je následující:
Výpočet LTV můžete vidět na řádku 282, pokud máme způsob, jak nastavit _exchangeRate na 0, nebyla by kontrola vždy pravdivá? Pokračujte ve čtení kódu:
Můžete vidět, že proměnná pro tuto hodnotu pochází z volání do orákula getPrices a je jmenovatelem, jinými slovy, musíme zajistit, aby cena kolaterálu byla extrémně velká.
Při čtení kódu orákula můžete vidět, že getPrices je pouze vrstva přeposílání, která ve skutečnosti volá rozhraní convetToAssets vsazeného aktiva (tj. trezoru). Pokračujte ve čtení kódu:
Můžete vidět, že tento výsledek se skládá z velmi složitých matematických operací, zde je hacker zesílením molekuly, dále total_assets, aby byl útok dokončen, podívejte se na implementaci _total_assets funkce lze nalézt:
Tato hodnota souvisí s borrowed_token drženými smlouvou správce tohoto trezoru, což je crvUSD.
Analýza je zde ve skutečnosti jasná, ResupplyPair byl vytvořen s prázdným trezorem a hacker převedl určité množství borrowed_token na smlouvu řadiče trezoru a nakonec se _exchangeRate vrátil na nulu, takže hodnota jeho zastavených aktiv byla nekonečně zesílena, a půjčil až 10 milionů reUSD za velmi malou cenu.
Útočné obchodování:
Adresa kontraktu ResupplyPair:
Adresa smlouvy správce státní pokladny:
Adresa smlouvy o státní pokladně:
Adresa smlouvy Oracle:
4,13 tis.
0
Obsah na této stránce poskytují třetí strany. Není-li uvedeno jinak, společnost OKX není autorem těchto informací a nenárokuje si u těchto materiálů žádná autorská práva. Obsah je poskytován pouze pro informativní účely a nevyjadřuje názory společnosti OKX. Nejedná se o doporučení jakéhokoli druhu a nemělo by být považováno za investiční poradenství ani nabádání k nákupu nebo prodeji digitálních aktiv. Tam, kde se k poskytování souhrnů a dalších informací používá generativní AI, může být vygenerovaný obsah nepřesný nebo nekonzistentní. Další podrobnosti a informace naleznete v připojeném článku. Společnost OKX neodpovídá za obsah, jehož hostitelem jsou externí weby. Držená digitální aktiva, včetně stablecoinů a tokenů NFT, zahrnují vysokou míru rizika a mohou značně kolísat. Měli byste pečlivě zvážit, zde je pro vás obchodování s digitálními aktivy nebo jejich držení vhodné z hlediska vaší finanční situace.