Что касается инцидента с @ResupplyFi, у всех есть свои ассоциации и эмоции, и я хотел бы сказать несколько вещей, которые, надеюсь, помогут прояснить некоторые моменты:
Во-первых, команда @CurveFinance не участвовала в разработке Resupply, это уже публично подтвердил @newmichwill, в Curve никто не присоединился к этому проекту. Более того, Resupply является SubDAO @yearnfi, что также указано в их официальном Twitter. Resupply выбрала crvUSD в качестве одного из базовых активов, это выбор протокола и не означает, что Curve имеет какое-либо реальное отношение.
Тем не менее, это все равно печальное событие. Разработчик Resupply @C2tP в конечном итоге пожертвовал более 1,39 миллиона долларов из собственного кармана для погашения плохих долгов, и это ответственное отношение заслуживает уважения.
С другой стороны, я также хотел бы особенно поблагодарить @ohyishi и его роль в качестве наблюдателя. Его наблюдения, критика и беспокойства по поводу Prisma, Resupply и даже Curve, высказанные в Twitter, на самом деле очень важны. В мире децентрализованных финансов (DeFi), если не будет людей, которые продолжают задавать вопросы, мы не увидим рисков и не сможем развиваться.
Как положительные, так и отрицательные голоса заставляют протоколы осознать беспокойства пользователей и учат проекты, как более четко выражать, управлять и реагировать на сообщество. Роль, которую представляет Yishi, сама по себе является вкладом. Это не просто технические ошибки или правильные решения, а взаимные напоминания о ценностях.
С тех пор как мы прошли через DeFi Summer, мы стали свидетелями множества инноваций и пережили множество ударов. Появление Uniswap, Aave и Curve стало результатом серии экспериментов, не боящихся неудач. Но в последние годы все больше протоколов выбирают консервативный подход, избегая инноваций, потому что новый контракт может означать риск в сотни миллионов долларов.
Это стагнация на самом деле является большим риском.
Мы не должны просто вспоминать прошлое DeFi Summer, но и задаваться вопросом: можем ли мы создать это снова? Можем ли мы позволить неудачи, защищать инновации и учиться коллективно?
- - - - - - Связанные ссылки - - - - - -
👉🏻
👉🏻
- - - - - - Связанные ссылки - - - - - -
В заключение, хочу заявить, что я не имею никакой связи с командой Resupply и не участвовал в их майнинговых действиях. Это всего лишь мои наблюдения и мысли как наблюдателя, участника DeFi и строителя.
Увидел, что босс onekey защищает свои права в Resupply, потерял несколько миллионов активов, и задумался, что DeFi действительно слишком хрупок. Посмотрел вокруг, кажется, никто не объяснил, как именно хакер атаковал, поэтому я сам провел небольшое исследование и делюсь с вами:
Главный герой истории - ResupplyPair, пользователи могут занимать активы, ставя их в залог, модификатор isSolvent в контракте отвечает за проверку, имеет ли пользователь право запрашивать заимствованные активы, конкретная логика кода такова:
Можно увидеть, что на 282 строке происходит расчет ltv, если у нас есть способ установить _exchangeRate равным 0, то проверка всегда будет выполнена? Продолжаем читать код:
Можно увидеть, что это значение переменной получается из вызова оракула getPrices, и является знаменателем, другими словами, нам нужно сделать цену залога максимально высокой.
Изучив код оракула, можно понять, что getPrices - это всего лишь уровень пересылки, фактически он вызывает интерфейс convertToAssets этого залогового актива (то есть казначейства). Продолжаем читать код:
Можно увидеть, что этот результат состоит из очень сложных математических операций, здесь хакер увеличил числитель, а затем total_assets, завершив атаку, проверив реализацию функции _total_assets, можно обнаружить:
Это значение связано с borrowed_token, который контроллер этого казначейства держит, то есть crvUSD.
На этом этапе анализ становится ясным, при создании ResupplyPair использовалось пустое казначейство, хакер перевел определенное количество borrowed_token на контроллер казначейства, в конечном итоге сделав _exchangeRate равным нулю, что позволило ему увеличить стоимость своих залоговых активов до бесконечности, заимствовав до 10 миллионов reUSD с минимальными затратами.
Торговая сделка атаки:
Адрес контракта ResupplyPair:
Адрес контракта контроллера казначейства:
Адрес контракта казначейства:
Адрес контракта оракула:
4,16 тыс.
0
Содержание этой страницы предоставляется третьими сторонами. OKX не является автором цитируемых статей и не имеет на них авторских прав, если не указано иное. Материалы предоставляются исключительно в информационных целях и не отражают мнения OKX. Материалы не являются инвестиционным советом и призывом к покупке или продаже цифровых активов. Раздел использует ИИ для создания обзоров и кратких содержаний предоставленных материалов. Обратите внимание, что информация, сгенерированная ИИ, может быть неточной и непоследовательной. Для получения полной информации изучите соответствующую оригинальную статью. OKX не несет ответственности за материалы, содержащиеся на сторонних сайтах. Цифровые активы, в том числе стейблкоины и NFT, подвержены высокому риску, а их стоимость может сильно колебаться. Перед торговлей и покупкой цифровых активов оцените ваше финансовое состояние и принимайте только взвешенные решения.