Există o mulțime de asocieri și emoții despre accidentul @ResupplyFi, iar aici vreau să spun câteva puncte și sper să vă ajut să clarificați un context:
În primul rând, echipa @CurveFinance nu a fost implicată în dezvoltarea Resupply, care @newmichwill a fost clarificată public că nimeni din cadrul nu s-a alăturat proiectului. Și Resupply în sine este SubDAO al lui @yearnfi, care este menționat și pe Twitter-ul lor oficial. Resupply a ales crvUSD ca unul dintre activele subiacente, ceea ce este alegerea protocolului și nu înseamnă că este substanțial legat.
Totuși, a fost un eveniment regretabil. Dezvoltatorul Resupply @C2tP a ajuns să doneze peste 1,39 milioane de dolari din propriul buzunar pentru a plăti datoriile neperformante, iar această atitudine responsabilă este respectabilă.
Pe de altă parte, aș dori să mulțumesc în mod special șefului @ohyishi și rolului de supraveghere pe care îl reprezintă. Observațiile, criticile și îngrijorările sale despre Prisma, Resupply și chiar pe Twitter sunt de fapt foarte importante. În lumea DeFi, a finanțelor descentralizate, fără acești oameni care continuă să pună întrebări, nu vom vedea riscurile și nu vom putea progresa.
Fie că sunt pozitive sau negative, aceste voci fac protocolul conștient de preocupările utilizatorilor și învață echipa de proiect cum să articuleze, să guverneze și să răspundă mai clar comunității. Rolul pe care îl reprezintă Yishi este o contribuție în sine. Nu este doar un bine sau un rău tehnic, este o reamintire reciprocă a valorilor.
De la DeFi Summer până astăzi, am văzut multă inovație și o mulțime de perturbări. Nașterea Uniswap, Aave și este rezultatul unei serii de experimente care nu se tem de eșec. Dar în ultimii ani, din ce în ce mai multe acorduri au ales să fie conservatoare și să evite inovația, deoarece un nou contract ar putea însemna milioane de dolari în pericol.
Această stagnare este de fapt un risc mai mare.
În loc să onorăm doar vara DeFi din trecut, ar trebui să ne întrebăm: o putem crea din nou? Poate fi tolerat eșecul, inovația protejată și învățarea colectivă poate fi tolerată?
- - - - - - Link-uri conexe - - - -
👉🏻
👉🏻
- - - - - - Link-uri conexe - - - -
În cele din urmă, nu sunt afiliat în niciun fel echipei Resupply și nici nu am participat la activitățile sale miniere. Acestea sunt doar câteva dintre observațiile și gândurile mele ca spectator, participant la DeFi și constructor.
Văzându-l pe șeful onekey apărându-și drepturile și Resupply, pierzând câteva active M, el s-a plâns că Defi este într-adevăr prea fragil. După ce m-am uitat în jur, nu părea să fiu deosebit de clar cu privire la modul în care hackerii au atacat, așa că am făcut câteva cercetări și le-am împărtășit cu voi:
Protagonistul poveștii este ResupplyPair, utilizatorul poate împrumuta și împrumuta prin miza activelor, iar modificatorul isSolvent din contract este responsabil pentru verificarea dacă utilizatorul este eligibil să împrumute activele solicitate, logica codului specific este următoarea:
Puteți vedea calculul LTV pe linia 282, dacă avem o modalitate de a seta _exchangeRate la 0, atunci verificarea nu ar fi întotdeauna adevărată? Continuați să citiți codul:
Puteți vedea că variabila pentru această valoare provine din apelul la oracolul getPrices și este numitorul, cu alte cuvinte, trebuie să facem prețul garanției extrem de mare.
Citind codul oracolului, puteți vedea că getPrices este doar un strat de redirecționare, care apelează de fapt interfața convetToAssets a activului mizat (adică seiful). Continuați să citiți codul:
Puteți vedea că acest rezultat este compus din operații matematice foarte complexe, aici hackerul este prin amplificarea moleculei, mai departe total_assets, pentru a finaliza atacul, uitați-vă la _total_assets se poate găsi implementarea funcției:
Această valoare este legată de borrowed_token deținut de contractul de controlor al acestui seif, care este crvUSD.
Analiza este de fapt clară aici, ResupplyPair a fost creat cu un seif gol, iar hackerul a transferat o anumită cantitate de borrowed_token în contractul de controlor al seifului și, în cele din urmă, a făcut ca _exchangeRate să revină la zero, astfel încât valoarea activelor sale gajate a fost amplificată la infinit și a împrumutat până la 10 milioane de reUSD la un cost foarte mic.
Tranzacționarea atacurilor:
Adresa contractului ResupplyPair:
Adresa contractului de controlor de trezorerie:
Adresa contractului de trezorerie:
Adresa contractului Oracle:
4,16 K
0
Conținutul de pe această pagină este furnizat de terți. Dacă nu se menționează altfel, OKX nu este autorul articolului citat și nu revendică niciun drept intelectual pentru materiale. Conținutul este furnizat doar pentru informare și nu reprezintă opinia OKX. Nu este furnizat pentru a fi o susținere de nicio natură și nu trebuie să fie considerat un sfat de investiție sau o solicitare de a cumpăra sau vinde active digitale. În măsura în care AI-ul de generare este utilizat pentru a furniza rezumate sau alte informații, astfel de conținut generat de AI poate să fie inexact sau neconsecvent. Citiți articolul asociat pentru mai multe detalii și informații. OKX nu răspunde pentru conținutul găzduit pe pagini terțe. Deținerile de active digitale, inclusiv criptomonedele stabile și NFT-urile, prezintă un grad ridicat de risc și pot fluctua semnificativ. Trebuie să analizați cu atenție dacă tranzacționarea sau deținerea de active digitale este adecvată pentru dumneavoastră prin prisma situației dumneavoastră financiare.