Over de situatie met @ResupplyFi hebben veel mensen associaties en emoties. Ik wil hier een paar punten aanstippen, in de hoop dat het helpt om wat context te verduidelijken:
Ten eerste, het @CurveFinance team heeft niet deelgenomen aan de ontwikkeling van Resupply. Dit is al openbaar gemaakt door @newmichwill; niemand binnen Curve is bij dit project betrokken. Bovendien is Resupply zelf een SubDAO van @yearnfi, wat ook op hun officiële Twitter is vermeld. Resupply heeft crvUSD gekozen als een van de onderliggende activa, dit is een keuze van het protocol en betekent niet dat Curve een substantiële relatie heeft.
Desondanks is dit nog steeds een betreurenswaardige gebeurtenis. De ontwikkelaar van Resupply, @C2tP, heeft uiteindelijk meer dan 1,39 miljoen dollar uit eigen zak gedoneerd om slechte schulden af te lossen, deze verantwoordelijke houding is respectvol.
Aan de andere kant wil ik ook @ohyishi en de toezichthoudende rol die hij vertegenwoordigt, speciaal bedanken. Zijn observaties, kritiek en zorgen over Prisma, Resupply en zelfs Curve op Twitter zijn eigenlijk heel belangrijk. In de wereld van DeFi, de gedecentraliseerde financiën, als we deze mensen die voortdurend vragen stellen missen, zullen we de risico's niet zien en kunnen we niet vooruitgang boeken.
Of het nu positief of negatief is, deze stemmen laten de protocollen de zorgen van gebruikers beseffen en leren de projectteams hoe ze duidelijker kunnen communiceren, besturen en reageren op de gemeenschap. De rol die Yishi vertegenwoordigt, is op zichzelf al een bijdrage. Het gaat niet alleen om technische juistheid, maar ook om wederzijdse herinneringen aan waarden.
Van DeFi Summer tot nu hebben we veel innovaties gezien en hebben we verschillende tegenslagen meegemaakt. De geboorte van Uniswap, Aave en Curve is het resultaat van een reeks experimenten die niet bang zijn voor falen. Maar de afgelopen jaren hebben steeds meer protocollen ervoor gekozen om conservatief te zijn en innovatie te vermijden, omdat een nieuw contract honderden miljoenen dollars aan risico kan betekenen.
Deze stagnatie is in feite een groter risico.
We zouden niet alleen de DeFi Summer van het verleden moeten herdenken, maar ons ook moeten afvragen: kunnen we nog een keer creëren? Kunnen we falen toestaan, innovatie beschermen en collectief leren?
- - - - - - Gerelateerde links - - - - - -
👉🏻
👉🏻
- - - - - - Gerelateerde links - - - - - -
Tot slot wil ik verklaren: ik heb geen enkele relatie met het Resupply team en heb niet deelgenomen aan hun mining activiteiten. Dit is slechts een observatie en stem van mij als toeschouwer, DeFi deelnemer en bouwer.
Ik zag dat de onekey baas rechten verdedigt voor Resupply, met een verlies van enkele M aan activa, en ik moet zeggen dat DeFi echt te kwetsbaar is. Na een rondje kijken, lijkt het erop dat niemand echt duidelijk heeft uitgelegd hoe de hacker heeft aangevallen, dus heb ik zelf wat onderzoek gedaan en deel dit met jullie:
De hoofdrolspeler in het verhaal is ResupplyPair, waar gebruikers activa kunnen staken voor leningen. De isSolvent modifier in het contract is verantwoordelijk voor het controleren of gebruikers in aanmerking komen voor de aangevraagde activa. De specifieke code logica is:
Je kunt zien dat op regel 282 de berekening van ltv staat. Als we een manier hebben om _exchangeRate op 0 te zetten, dan is de controle altijd waar, toch? Laten we de code verder lezen:
Je kunt zien dat deze waarde afkomstig is van de oproep naar de oracle getPrices, en het is de noemer. Met andere woorden, we moeten de prijs van de collateral extreem hoog maken.
Door de code van de oracle te lezen, kunnen we zien dat getPrices slechts een laag van doorsturen is, en in werkelijkheid de convertToAssets interface van deze gestakte activa (d.w.z. de vault) aanroept. Laten we de code verder lezen:
Je kunt zien dat dit resultaat bestaat uit zeer complexe wiskundige berekeningen. Hier heeft de hacker de teller vergroot, en verder total_assets, om de aanval te voltooien. Door de implementatie van de _total_assets functie te bekijken, kunnen we ontdekken:
Deze waarde is gerelateerd aan de borrowed_token die wordt gehouden door het controller contract van deze vault, namelijk crvUSD.
Tot hier is de analyse eigenlijk duidelijk. ResupplyPair gebruikte een lege vault bij de creatie, en de hacker heeft een bepaalde hoeveelheid borrowed_token naar het controller contract van de vault overgemaakt, waardoor uiteindelijk _exchangeRate op nul kwam te staan, waardoor de waarde van zijn gestakte activa oneindig werd vergroot, en met een zeer lage kostprijs tot wel 10M aan reUSD kon lenen.
Aanvalstransactie:
ResupplyPair contractadres:
Vault controller contractadres:
Vault contractadres:
Oracle contractadres:
4,15K
0
De inhoud op deze pagina wordt geleverd door derden. Tenzij anders vermeld, is OKX niet de auteur van het (de) geciteerde artikel(en) en claimt geen auteursrecht op de materialen. De inhoud is alleen bedoeld voor informatieve doeleinden en vertegenwoordigt niet de standpunten van OKX. Het is niet bedoeld als een goedkeuring van welke aard dan ook en mag niet worden beschouwd als beleggingsadvies of een uitnodiging tot het kopen of verkopen van digitale bezittingen. Voor zover generatieve AI wordt gebruikt om samenvattingen of andere informatie te verstrekken, kan deze door AI gegenereerde inhoud onnauwkeurig of inconsistent zijn. Lees het gelinkte artikel voor meer details en informatie. OKX is niet verantwoordelijk voor inhoud gehost op sites van een derde partij. Het bezitten van digitale activa, waaronder stablecoins en NFT's, brengt een hoge mate van risico met zich mee en de waarde van deze activa kan sterk fluctueren. Overweeg zorgvuldig of de handel in of het bezit van digitale activa geschikt voor je is in het licht van je financiële situatie.