Sobre el incidente de @ResupplyFi, hay muchas asociaciones y emociones entre todos, así que quiero mencionar algunos puntos y espero ayudar a aclarar algunos contextos:
Primero, el equipo de @CurveFinance no participó en el desarrollo de Resupply, esto ya ha sido aclarado públicamente por @newmichwill, nadie dentro de Curve se unió a este proyecto. Además, Resupply es en sí mismo un SubDAO de @yearnfi, lo cual también está claramente indicado en su Twitter oficial. Resupply eligió crvUSD como uno de sus activos subyacentes, esta es una elección del protocolo y no significa que Curve tenga una relación sustancial.
A pesar de esto, sigue siendo un evento lamentable. El desarrollador de Resupply, @C2tP, finalmente donó más de 1.39 millones de dólares de su propio bolsillo para pagar deudas incobrables, esta actitud responsable es digna de respeto.
Por otro lado, también quiero agradecer especialmente al jefe @ohyishi y al rol de supervisión que representa. Sus observaciones, críticas y preocupaciones sobre Prisma, Resupply e incluso Curve en Twitter son muy importantes. En el mundo de las finanzas descentralizadas (DeFi), si faltan estas personas que continuamente plantean preguntas, no podremos ver los riesgos y, por lo tanto, no podremos avanzar.
Ya sea positiva o negativa, estas voces hacen que los protocolos tomen conciencia de las preocupaciones de los usuarios y también enseñan a los equipos de proyectos a expresarse, gobernar y responder a la comunidad de manera más clara. El rol que representa Yishi es, en sí mismo, una contribución. No se trata solo de aciertos o errores técnicos, sino de un recordatorio mutuo en términos de valores.
Desde el DeFi Summer hasta hoy, hemos sido testigos de muchas innovaciones y también hemos experimentado repetidos golpes. El nacimiento de Uniswap, Aave y Curve es el resultado de una serie de experimentos que no temen al fracaso. Pero en estos últimos años, cada vez más protocolos eligen ser conservadores y evitar la innovación, porque un nuevo contrato puede significar riesgos de cientos de miles de dólares.
Esta inacción, en realidad, es un riesgo mayor.
No deberíamos solo conmemorar el pasado DeFi Summer, sino preguntarnos: ¿podemos crear otra vez? ¿Podemos permitir el fracaso, proteger la innovación y aprender colectivamente?
- - - - - - Enlaces relacionados - - - - - -
👉🏻
👉🏻
- - - - - - Enlaces relacionados - - - - - -
Por último, aclaro que no tengo ninguna relación con el equipo de Resupply y no he participado en sus actividades de minería. Este texto es solo algunas observaciones y reflexiones mías como observador, participante y constructor de DeFi.
Viendo cómo el jefe de onekey defiende sus derechos en Resupply, lamentando la pérdida de varios millones en activos, me doy cuenta de que DeFi es realmente muy frágil. He mirado a mi alrededor y parece que nadie ha explicado claramente cómo fue atacado el hacker, así que hice un poco de investigación y lo comparto con todos:
El protagonista de la historia es ResupplyPair, donde los usuarios pueden pedir prestados activos mediante el staking. El modificador isSolvent en el contrato se encarga de verificar si el usuario es elegible para solicitar el activo prestado, y la lógica del código es la siguiente:
Se puede ver que en la línea 282 se calcula el ltv. Si encontramos una manera de establecer _exchangeRate en 0, ¿no se cumpliría la verificación de forma constante? Sigamos leyendo el código:
Se puede observar que este valor proviene de la llamada al oráculo getPrices, y es el denominador, en otras palabras, necesitamos hacer que el precio del colateral sea extremadamente alto.
Al leer el código del oráculo, se puede saber que getPrices es solo una capa de reenvío, y en realidad llama a la interfaz convertToAssets de este activo en staking (es decir, la tesorería). Sigamos leyendo el código:
Se puede ver que este resultado está compuesto por cálculos matemáticos muy complejos. Aquí, el hacker amplificó el numerador, y más adelante, total_assets, completando el ataque. Al revisar la implementación de la función _total_assets, se puede descubrir que:
Este valor está relacionado con el borrowed_token que posee el contrato controller de esta tesorería, que es crvUSD.
Hasta aquí, el análisis es bastante claro. ResupplyPair se creó utilizando una tesorería vacía, y el hacker transfirió una cierta cantidad de borrowed_token al contrato controller de la tesorería, lo que finalmente hizo que _exchangeRate se redujera a cero, amplificando así el valor de sus activos en staking de manera infinita, y pidiendo prestado hasta 10 millones de reUSD con un costo extremadamente bajo.
Transacción del ataque:
Dirección del contrato ResupplyPair:
Dirección del contrato controller de la tesorería:
Dirección del contrato de la tesorería:
Dirección del contrato del oráculo:
4,12 mil
0
El contenido de esta página lo proporcionan terceros. A menos que se indique lo contrario, OKX no es el autor de los artículos citados y no reclama ningún derecho de autor sobre los materiales. El contenido se proporciona únicamente con fines informativos y no representa las opiniones de OKX. No pretende ser un respaldo de ningún tipo y no debe ser considerado como un consejo de inversión o una solicitud para comprar o vender activos digitales. En la medida en que la IA generativa se utiliza para proporcionar resúmenes u otra información, dicho contenido generado por IA puede ser inexacto o incoherente. Lee el artículo vinculado para obtener más detalles e información. OKX no es responsable del contenido alojado en sitios de terceros. El holding de activos digitales, incluyendo stablecoins y NFT, implican un alto grado de riesgo y pueden fluctuar en gran medida. Debes considerar cuidadosamente si el trading o holding de activos digitales es adecuado para ti a la luz de tu situación financiera.