Ada banyak asosiasi dan emosi tentang kecelakaan @ResupplyFi, dan di sini saya ingin mengatakan beberapa poin, dan saya juga berharap dapat membantu Anda mengklarifikasi beberapa konteks:
Pertama-tama, tim @CurveFinance tidak terlibat dalam pengembangan Resupply, yang @newmichwill diklarifikasi secara publik bahwa tidak ada seorang pun dari dalam Curve yang bergabung dengan proyek tersebut. Dan Resupply sendiri adalah SubDAO @yearnfi, yang juga tercantum di Twitter resmi mereka. Resupply telah memilih crvUSD sebagai salah satu aset dasar, yang merupakan pilihan protokol dan tidak berarti bahwa Curve secara substansial terkait.
Namun, itu adalah peristiwa yang disesalkan. Pengembang Resupply akhirnya @C2tP menyumbangkan lebih dari $1,39 juta dari sakunya sendiri untuk melunasi hutang macet, dan sikap bertanggung jawab ini terhormat.
Di sisi lain, saya juga ingin mengucapkan terima kasih khusus kepada bos @ohyishi dan peran pengawas yang dia wakili. Pengamatan, kritik, dan kekhawatirannya tentang Prisma, Resupply, dan bahkan Curve di Twitter sebenarnya sangat penting. Di dunia DeFi, keuangan terdesentralisasi, tanpa orang-orang yang terus mengajukan pertanyaan ini, kita tidak akan melihat risikonya dan kita tidak akan bisa maju.
Baik positif atau negatif, suara-suara ini membuat protokol sadar akan kekhawatiran pengguna dan mengajarkan tim proyek cara mengartikulasikan, mengatur, dan menanggapi komunitas dengan lebih jelas. Peran yang diwakili Yishi adalah kontribusi tersendiri. Ini bukan hanya benar atau salah secara teknis, ini adalah saling mengingatkan nilai-nilai.
Dari Musim Panas DeFi hingga hari ini, kami telah melihat banyak inovasi dan banyak gangguan. Kelahiran Uniswap, Aave, dan Curve merupakan hasil dari serangkaian eksperimen yang tidak takut gagal. Namun dalam beberapa tahun terakhir, semakin banyak perjanjian yang memilih untuk bersikap konservatif dan menghindari inovasi, karena kontrak baru dapat berarti jutaan dolar berisiko.
Stagnasi ini sebenarnya merupakan risiko yang lebih besar.
Alih-alih hanya menghormati Musim Panas DeFi di masa lalu, kita harus bertanya: bisakah kita membuatnya lagi? Bisakah kegagalan ditoleransi, inovasi dilindungi, dan pembelajaran kolektif dapat ditoleransi?
- - - Pranala terkait - - -
👉🏻
👉🏻
- - - Pranala terkait - - -
Akhirnya, saya tidak berafiliasi dengan tim Resupply dengan cara apa pun, saya juga tidak berpartisipasi dalam kegiatan penambangannya. Ini hanyalah beberapa pengamatan dan pemikiran saya sebagai pengamat, peserta DeFi, dan pembangun.
Melihat bos onekey mempertahankan haknya dan Resupply, kehilangan beberapa aset M, dia menyesalkan bahwa Defi benar-benar terlalu rapuh. Setelah melihat-lihat, saya tampaknya tidak terlalu jelas tentang bagaimana peretas menyerang, jadi saya melakukan riset sendiri dan membagikannya dengan Anda:
Protagonis cerita adalah ResupplyPair, pengguna dapat meminjam dan meminjam dengan mempertaruhkan aset, dan pengubah isSolvent dalam kontrak bertanggung jawab untuk memeriksa apakah pengguna memenuhi syarat untuk meminjamkan aset yang diminta, logika kode spesifiknya adalah sebagai berikut:
Anda dapat melihat perhitungan LTV pada baris 282, jika kita memiliki cara untuk mengatur _exchangeRate ke 0, maka bukankah cek itu selalu benar? Lanjutkan membaca kodenya:
Anda dapat melihat bahwa variabel untuk nilai ini berasal dari panggilan ke oracle getPrices, dan merupakan penyebutnya, dengan kata lain, kita perlu membuat harga agunan sangat besar.
Membaca kode oracle, Anda dapat melihat bahwa getPrices hanyalah lapisan penerusan, yang sebenarnya memanggil antarmuka convetToAssets dari aset yang dipertaruhkan (yaitu, brankas). Lanjutkan membaca kodenya:
Anda dapat melihat bahwa hasil ini terdiri dari operasi matematika yang sangat kompleks, di sini peretas adalah dengan memperkuat molekul, lebih jauh total_assets, untuk menyelesaikan serangan, lihat _total_assets implementasi fungsi dapat ditemukan:
Nilai ini terkait dengan borrowed_token yang dipegang oleh kontrak pengontrol brankas ini, yaitu crvUSD.
Analisisnya sebenarnya jelas di sini, ResupplyPair dibuat dengan brankas kosong, dan peretas mentransfer sejumlah borrowed_token ke kontrak pengontrol brankas, dan akhirnya membuat _exchangeRate kembali ke nol, sehingga nilai aset yang dijaminkannya diperkuat tanpa batas, dan dia meminjamkan hingga 10 juta reUSD dengan biaya yang sangat kecil.
Perdagangan Serangan:
Alamat Kontrak ResupplyPair:
Alamat kontrak pengontrol perbendaharaan:
Alamat Kontrak Perbendaharaan:
Alamat kontrak Oracle:
4,14 rb
0
Konten pada halaman ini disediakan oleh pihak ketiga. Kecuali dinyatakan lain, OKX bukanlah penulis artikel yang dikutip dan tidak mengklaim hak cipta atas materi tersebut. Konten ini disediakan hanya untuk tujuan informasi dan tidak mewakili pandangan OKX. Konten ini tidak dimaksudkan sebagai dukungan dalam bentuk apa pun dan tidak dapat dianggap sebagai nasihat investasi atau ajakan untuk membeli atau menjual aset digital. Sejauh AI generatif digunakan untuk menyediakan ringkasan atau informasi lainnya, konten yang dihasilkan AI mungkin tidak akurat atau tidak konsisten. Silakan baca artikel yang terkait untuk informasi lebih lanjut. OKX tidak bertanggung jawab atas konten yang dihosting di situs pihak ketiga. Kepemilikan aset digital, termasuk stablecoin dan NFT, melibatkan risiko tinggi dan dapat berfluktuasi secara signifikan. Anda perlu mempertimbangkan dengan hati-hati apakah trading atau menyimpan aset digital sesuai untuk Anda dengan mempertimbangkan kondisi keuangan Anda.