Existem muitas associações e emoções sobre o @ResupplyFi acidente, e aqui quero dizer alguns pontos, e também espero ajudá-lo a esclarecer algum contexto:
Em primeiro lugar, a equipe @CurveFinance não esteve envolvida no desenvolvimento do Resupply, que @newmichwill foi esclarecido publicamente que ninguém de dentro da Curve se juntou ao projeto. E o próprio Resupply é o SubDAO da @yearnfi, que também é declarado em seu Twitter oficial. A Resupply escolheu o crvUSD como um dos ativos subjacentes, que é a escolha do protocolo e não significa que a Curve esteja substancialmente relacionada.
Ainda assim, foi um evento lamentável. O desenvolvedor da Resupply, @C2tP, acabou doando mais de US$ 1,39 milhão do próprio bolso para pagar dívidas incobráveis, e essa atitude responsável é respeitável.
Por outro lado, gostaria também de agradecer especialmente ao @ohyishi chefe e ao papel de supervisão que ele representa. Suas observações, críticas e preocupações sobre Prisma, Resupply e até mesmo Curve no Twitter são realmente muito importantes. No mundo do DeFi, das finanças descentralizadas, sem essas pessoas que continuam fazendo perguntas, não veremos os riscos e não conseguiremos progredir.
Sejam positivas ou negativas, essas vozes conscientizam o protocolo sobre as preocupações dos usuários e ensinam a equipe do projeto a articular, governar e responder à comunidade com mais clareza. O papel que Yishi representa é uma contribuição em si. Não é apenas um certo ou errado técnico, é um lembrete mútuo de valores.
Do DeFi Summer até hoje, vimos muita inovação e muitas interrupções. O nascimento do Uniswap, Aave e Curve é o resultado de uma série de experimentos que não têm medo do fracasso. Mas, nos últimos anos, cada vez mais acordos optaram por ser conservadores e evitar a inovação, porque um novo contrato pode significar milhões de dólares em risco.
Essa estagnação é, na verdade, um risco maior.
Em vez de apenas homenagear o DeFi Summer do passado, devemos perguntar: podemos criá-lo novamente? O fracasso pode ser tolerado, a inovação protegida e o aprendizado coletivo pode ser tolerado?
- - - - - - Links Relacionados - - -
👉🏻
👉🏻
- - - - - - Links Relacionados - - -
Por fim, não sou afiliado à equipe de Reabastecimento de forma alguma, nem participei de suas atividades de mineração. Estas são apenas algumas das minhas observações e pensamentos como espectador, participante do DeFi e construtor.
Vendo o chefe onekey defendendo seus direitos e Resupply, perdendo alguns ativos M, ele lamentou que o Defi seja realmente muito frágil. Depois de olhar em volta, eu não parecia estar particularmente claro sobre como os hackers atacavam, então fiz algumas pesquisas e compartilhei com você:
O protagonista da história é o ResupplyPair, o usuário pode emprestar e emprestar apostando ativos, e o modificador isSolvent no contrato é responsável por verificar se o usuário é elegível para emprestar os ativos solicitados, a lógica do código específico é a seguinte:
Você pode ver o cálculo do LTV na linha 282, se tivermos uma maneira de definir _exchangeRate como 0, a verificação não seria sempre verdadeira? Continue lendo o código:
Você pode ver que a variável para esse valor vem da chamada para o oráculo getPrices, e é o denominador, ou seja, precisamos tornar o preço da garantia extremamente grande.
Lendo o código do oráculo, você pode ver que getPrices é apenas uma camada de encaminhamento, que na verdade chama a interface convetToAssets do ativo em staking (ou seja, o cofre). Continue lendo o código:
Você pode ver que este resultado é composto por operações matemáticas muito complexas, aqui o hacker está amplificando a molécula, mais total_assets, para completar o ataque, veja a implementação da função _total_assets pode ser encontrada:
Esse valor está relacionado ao borrowed_token detido pelo contrato do controlador desse cofre, que é crvUSD.
A análise é realmente clara aqui, o ResupplyPair foi criado com um cofre vazio, e o hacker transferiu uma certa quantidade de borrowed_token para o contrato de controlador do cofre e, finalmente, fez o _exchangeRate retornar a zero, de modo que o valor de seus ativos prometidos foi infinitamente amplificado, e ele emprestou até 10 milhões de reUSD a um custo muito pequeno.
Negociação de ataque:
Endereço do contrato ResupplyPair:
Endereço do contrato do controlador de tesouraria:
Endereço do Contrato de Tesouraria:
Endereço do contrato Oracle:
4,15 mil
0
O conteúdo desta página é fornecido por terceiros. A menos que especificado de outra forma, a OKX não é a autora dos artigos mencionados e não reivindica direitos autorais sobre os materiais apresentados. O conteúdo tem um propósito meramente informativo e não representa as opiniões da OKX. Ele não deve ser interpretado como um endosso ou aconselhamento de investimento de qualquer tipo, nem como uma recomendação para compra ou venda de ativos digitais. Quando a IA generativa é utilizada para criar resumos ou outras informações, o conteúdo gerado pode apresentar imprecisões ou incoerências. Leia o artigo vinculado para mais detalhes e informações. A OKX não se responsabiliza pelo conteúdo hospedado em sites de terceiros. Possuir ativos digitais, como stablecoins e NFTs, envolve um risco elevado e pode apresentar flutuações significativas. Você deve ponderar com cuidado se negociar ou manter ativos digitais é adequado para sua condição financeira.