Hay muchas asociaciones y emociones sobre el accidente @ResupplyFi, y aquí quiero decir algunos puntos, y también espero ayudarte a aclarar algo de contexto:
En primer lugar, el equipo de @CurveFinance no participó en el desarrollo de Resupply, que @newmichwill se ha aclarado públicamente que nadie dentro de Curve se ha unido al proyecto. Y el propio Resupply es la SubDAO de @yearnfi, que también se afirma en su Twitter oficial. Resupply ha elegido crvUSD como uno de los activos subyacentes, que es la elección del protocolo y no significa que Curve esté sustancialmente relacionado.
Aun así, fue un hecho lamentable. El desarrollador de Resupply, @C2tP, terminó donando más de $ 1.39 millones de su propio bolsillo para pagar deudas incobrables, y esta actitud responsable es respetable.
Por otro lado, también me gustaría dar las gracias especialmente al jefe @ohyishi y al papel de supervisión que representa. Sus observaciones, críticas y preocupaciones sobre Prisma, Resupply e incluso Curve en Twitter son realmente muy importantes. En el mundo de las DeFi, las finanzas descentralizadas, sin estas personas que siguen haciendo preguntas, no veremos los riesgos y no podremos avanzar.
Ya sean positivas o negativas, estas voces hacen que el protocolo sea consciente de las preocupaciones de los usuarios y enseñan al equipo del proyecto cómo articular, gobernar y responder a la comunidad con mayor claridad. El papel que representa Yishi es una contribución en sí mismo. No es solo un bien o mal técnico, es un recordatorio mutuo de valores.
Desde DeFi Summer hasta hoy, hemos visto mucha innovación y muchas interrupciones. El nacimiento de Uniswap, Aave y Curve es el resultado de una serie de experimentos que no temen al fracaso. Pero en los últimos años, cada vez son más los acuerdos que optan por ser conservadores y evitar la innovación, porque un nuevo contrato podría significar millones de dólares en riesgo.
Este estancamiento es en realidad un riesgo mayor.
En lugar de limitarnos a honrar el Verano DeFi del pasado, deberíamos preguntarnos: ¿podemos volver a crearlo? ¿Se puede tolerar el fracaso, proteger la innovación y tolerar el aprendizaje colectivo?
- - - - - - Enlaces relacionados - - - - - - -
👉🏻
👉🏻
- - - - - - Enlaces relacionados - - - - - - -
Finalmente, no estoy afiliado al equipo de Reabastecimiento de ninguna manera, ni he participado en sus actividades mineras. Estas son solo algunas de mis observaciones y pensamientos como espectador, participante de DeFi y constructor.
Al ver al jefe clave defendiendo sus derechos y Reabastecimiento, perdiendo algunos activos M, lamentó que Defi sea realmente demasiado frágil. Después de mirar a mi alrededor, no parecía tener muy claro cómo atacaban los hackers, así que investigué un poco y lo compartí con vosotros:
El protagonista de la historia es el ResupplyPair, el usuario puede pedir prestado y pedir prestado apostando activos, y el modificador isSolvent en el contrato se encarga de verificar si el usuario es elegible para prestar los activos solicitados, la lógica del código específico es la siguiente:
Puedes ver el cálculo del LTV en la línea 282, si tenemos una manera de establecer _exchangeRate a 0, ¿no sería siempre verdadera la verificación? Continúa leyendo el código:
Puede ver que la variable para este valor proviene de la llamada al oráculo getPrices, y es el denominador, en otras palabras, necesitamos hacer que el precio de la garantía sea extremadamente grande.
Al leer el código del oráculo, puede ver que getPrices es solo una capa de reenvío, que en realidad llama a la interfaz convetToAssets del activo apostado (es decir, la bóveda). Continúa leyendo el código:
Se puede ver que este resultado se compone de operaciones matemáticas muy complejas, aquí el hacker es amplificando la molécula, más total_assets, para completar el ataque, fíjate en la implementación de la función _total_assets se puede encontrar:
Este valor está relacionado con el borrowed_token que tiene el contrato del controlador de esta bóveda, que es crvUSD.
El análisis es realmente claro aquí, ResupplyPair se creó con una bóveda vacía, y el pirata informático transfirió una cierta cantidad de borrowed_token al contrato del controlador de la bóveda, y finalmente hizo que el _exchangeRate volviera a cero, por lo que el valor de sus activos comprometidos se amplificó infinitamente, y prestó hasta 10 millones de reUSD a un costo muy pequeño.
Operaciones de ataque:
Dirección del contrato de ResupplyPair:
Dirección del contrato de controlador de tesorería:
Dirección del Contrato de Tesorería:
Dirección del contrato de Oracle:
4.15 K
0
El contenido al que estás accediendo se ofrece por terceros. A menos que se indique lo contrario, OKX no es autor de la información y no reclama ningún derecho de autor sobre los materiales. El contenido solo se proporciona con fines informativos y no representa las opiniones de OKX. No pretende ser un respaldo de ningún tipo y no debe ser considerado como un consejo de inversión o una solicitud para comprar o vender activos digitales. En la medida en que la IA generativa se utiliza para proporcionar resúmenes u otra información, dicho contenido generado por IA puede ser inexacto o incoherente. Lee el artículo enlazado para más detalles e información. OKX no es responsable del contenido alojado en sitios de terceros. Los holdings de activos digitales, incluidos stablecoins y NFT, suponen un alto nivel de riesgo y pueden fluctuar mucho. Debes considerar cuidadosamente si el trading o holding de activos digitales es adecuado para ti según tu situación financiera.