W związku z incydentem z @ResupplyFi, wiele osób ma różne skojarzenia i emocje. Chciałbym poruszyć kilka kwestii, które mogą pomóc w wyjaśnieniu kontekstu:
Po pierwsze, zespół @CurveFinance nie brał udziału w rozwoju Resupply, co zostało publicznie wyjaśnione przez @newmichwill. Nikt z Curve nie dołączył do tego projektu. Co więcej, Resupply jest subDAO @yearnfi, co również zostało jasno określone na ich oficjalnym Twitterze. Resupply wybrał crvUSD jako jeden z aktywów bazowych, co jest wyborem protokołu i nie oznacza, że Curve ma rzeczywisty związek.
Mimo to, jest to nadal smutne wydarzenie. Programista Resupply, @C2tP, ostatecznie wyłożył z własnej kieszeni ponad 1,39 miliona dolarów na spłatę złych długów, co jest godne szacunku.
Z drugiej strony, chciałbym szczególnie podziękować szefowi @ohyishi oraz jego roli nadzorującej. Jego obserwacje, krytyka i obawy dotyczące Prisma, Resupply, a nawet Curve, które wyraził na Twitterze, są bardzo ważne. W świecie DeFi, jeśli zabraknie osób, które nieustannie stawiają pytania, nie dostrzegamy ryzyka i nie możemy się rozwijać.
Bez względu na to, czy są to głosy pozytywne, czy negatywne, te opinie sprawiają, że strony protokołu zdają sobie sprawę z obaw użytkowników, a zespoły projektowe uczą się, jak lepiej komunikować, zarządzać i odpowiadać społeczności. Rola, którą reprezentuje Yishi, jest sama w sobie wkładem. To nie tylko kwestia techniczna, ale wzajemne przypomnienie o wartościach.
Od DeFi Summer do dziś byliśmy świadkami wielu innowacji i doświadczyliśmy wielu ciosów. Powstanie Uniswap, Aave i Curve to efekt serii eksperymentów, które nie bały się porażek. Jednak w ostatnich latach coraz więcej protokołów decyduje się na ostrożność i unikanie innowacji, ponieważ nowy kontrakt może oznaczać ryzyko sięgające setek milionów dolarów.
Taki zastój to w rzeczywistości większe ryzyko.
Nie powinniśmy tylko wspominać przeszłego DeFi Summer, ale zapytać: czy możemy to jeszcze raz stworzyć? Czy możemy pozwolić na porażki, chronić innowacje i uczyć się zbiorowo?
- - - - - - Powiązane linki - - - - - -
👉🏻
👉🏻
- - - - - - Powiązane linki - - - - - -
Na koniec chciałbym zaznaczyć: nie mam żadnych powiązań z zespołem Resupply i nie brałem udziału w ich działaniach wydobywczych. Ten tekst to jedynie moje obserwacje i przemyślenia jako obserwatora, uczestnika DeFi i budowniczego.
Zobaczyłem, że szef onekey broni swoich praw w Resupply, stracił kilka milionów aktywów, i zauważyłem, że Defi jest naprawdę zbyt kruchy. Po przejrzeniu sytuacji, wydaje się, że nikt nie wyjaśnił dokładnie, jak haker zaatakował, więc sam zrobiłem trochę badań i dzielę się tym z wami:
Głównym bohaterem historii jest ResupplyPair, użytkownicy mogą pożyczać aktywa poprzez stakowanie, a modyfikator isSolvent w kontrakcie odpowiada za sprawdzenie, czy użytkownik ma prawo do pożyczki żądanych aktywów, a konkretna logika kodu jest następująca:
Można zobaczyć, że w 282 linii obliczana jest ltv, jeśli mamy sposób, aby ustawić _exchangeRate na 0, to sprawdzenie będzie zawsze prawdziwe? Kontynuując przeglądanie kodu:
Można zauważyć, że ta wartość pochodzi z wywołania oracle getPrices, i jest w mianowniku, innymi słowy, musimy sprawić, aby cena zabezpieczenia była ekstremalnie wysoka.
Przeglądając kod oracle, można zauważyć, że getPrices to tylko jedna warstwa przekazywania, w rzeczywistości wywołuje interfejs convertToAssets tego stakowanego aktywa (czyli skarbca). Kontynuując przeglądanie kodu:
Można zobaczyć, że ten wynik składa się z bardzo skomplikowanych obliczeń matematycznych, tutaj haker poprzez powiększenie licznika, a dalej total_assets, przeprowadził atak, sprawdzając implementację funkcji _total_assets:
Ta wartość jest związana z borrowed_token, który posiada kontrakt kontrolera tego skarbca, czyli crvUSD.
Analizując to, staje się jasne, że przy tworzeniu ResupplyPair użyto pustego skarbca, haker przesłał pewną ilość borrowed_token do kontraktu kontrolera skarbca, co ostatecznie spowodowało, że _exchangeRate spadł do zera, co z kolei sprawiło, że wartość jego stakowanych aktywów wzrosła nieskończoność, pożyczając aż 10 milionów reUSD przy minimalnych kosztach.
Transakcja ataku:
Adres kontraktu ResupplyPair:
Adres kontraktu kontrolera skarbca:
Adres kontraktu skarbca:
Adres kontraktu oracle:
4,12 tys.
0
Treści na tej stronie są dostarczane przez strony trzecie. O ile nie zaznaczono inaczej, OKX nie jest autorem cytowanych artykułów i nie rości sobie żadnych praw autorskich do tych materiałów. Treść jest dostarczana wyłącznie w celach informacyjnych i nie reprezentuje poglądów OKX. Nie mają one na celu jakiejkolwiek rekomendacji i nie powinny być traktowane jako porada inwestycyjna lub zachęta do zakupu lub sprzedaży aktywów cyfrowych. Treści, w zakresie w jakim jest wykorzystywana generatywna sztuczna inteligencja do dostarczania podsumowań lub innych informacji, mogą być niedokładne lub niespójne. Przeczytaj podlinkowany artykuł, aby uzyskać więcej szczegółów i informacji. OKX nie ponosi odpowiedzialności za treści hostowane na stronach osób trzecich. Posiadanie aktywów cyfrowych, w tym stablecoinów i NFT, wiąże się z wysokim stopniem ryzyka i może podlegać znacznym wahaniom. Musisz dokładnie rozważyć, czy handel lub posiadanie aktywów cyfrowych jest dla Ciebie odpowiednie w świetle Twojej sytuacji finansowej.