Det finns många associationer och känslor kring den @ResupplyFi olyckan, och här vill jag säga några punkter, och jag hoppas också kunna hjälpa dig att klargöra lite sammanhang:
Först och främst var @CurveFinance-teamet inte involverat i utvecklingen av Resupply, som @newmichwill har offentliggjorts att ingen från Curve har gått med i projektet. Och Resupply i sig är @yearnfi:s SubDAO, vilket också anges på deras officiella Twitter. Resupply har valt crvUSD som en av de underliggande tillgångarna, vilket är valet av protokoll och innebär inte att Curve är väsentligen relaterad.
Ändå var det en beklaglig händelse. Det slutade med att Resupplys utvecklare @C2tP donerade mer än 1,39 miljoner dollar ur egen ficka för att betala av osäkra fordringar, och denna ansvarsfulla attityd är respektabel.
Å andra sidan vill jag också rikta ett särskilt tack till den @ohyishi chefen och den tillsynsroll han representerar. Hans observationer, kritik och oro över Prisma, Resupply och till och med Curve på Twitter är faktiskt mycket viktiga. I en värld av DeFi, decentraliserad finans, utan dessa människor som fortsätter att ställa frågor, kommer vi inte att se riskerna och vi kommer inte att kunna utvecklas.
Oavsett om de är positiva eller negativa gör dessa röster protokollet medvetet om användarnas oro och lär projektteamet hur man formulerar, styr och svarar på communityn på ett tydligare sätt. Den roll som Yishi representerar är ett bidrag i sig. Det är inte bara ett tekniskt rätt eller fel, det är en ömsesidig påminnelse om värderingar.
Från DeFi Summer till idag har vi sett mycket innovation och många störningar. Födelsen av Uniswap, Aave och Curve är resultatet av en serie experiment som inte är rädda för att misslyckas. Men under de senaste åren har fler och fler avtal valt att vara konservativa och undvika innovation, eftersom ett nytt avtal kan innebära miljontals dollar i riskzonen.
Denna stagnation är faktiskt en större risk.
Istället för att bara hedra det förflutnas DeFi-sommar bör vi fråga: kan vi skapa den igen? Kan misslyckanden tolereras, innovation skyddas och kollektivt lärande tolereras?
- - - - - - Relaterade länkar - - - - - - -
👉🏻
👉🏻
- - - - - - Relaterade länkar - - - - - - -
Slutligen är jag inte ansluten till Resupply-teamet på något sätt och jag har inte heller deltagit i dess gruvverksamhet. Det här är bara några av mina observationer och tankar som åskådare, DeFi-deltagare och byggare.
När han såg onekey-bossen försvara sina rättigheter och Resupply, förlora några M-tillgångar, beklagade han sig över att Defi verkligen är för ömtåligt. Efter att ha tittat runt verkade jag inte vara särskilt tydlig med hur hackare attackerade, så jag gjorde lite efterforskningar själv och delade det med dig:
Huvudpersonen i berättelsen är ResupplyPair, användaren kan låna och låna genom att satsa tillgångar, och isSolvent-modifieraren i kontraktet ansvarar för att kontrollera om användaren är berättigad att låna ut de begärda tillgångarna, den specifika kodlogiken är som följer:
Du kan se beräkningen av LTV på rad 282, om vi har ett sätt att sätta _exchangeRate till 0, skulle då inte kontrollen alltid vara sann? Fortsätt läsa koden:
Du kan se att variabeln för detta värde kommer från anropet till oraklet getPrices och är nämnaren, med andra ord måste vi göra priset på säkerheten extremt stort.
När du läser oraklets kod kan du se att getPrices bara är ett lager av vidarebefordran, som faktiskt anropar convetToAssets-gränssnittet för den insatta tillgången (dvs. valvet). Fortsätt läsa koden:
Du kan se att detta resultat består av mycket komplexa matematiska operationer, här hackaren är genom att förstärka molekylen, ytterligare total_assets, för att slutföra attacken, titta på den _total_assets funktionsimplementeringen kan hittas:
Det här värdet är relaterat till den borrowed_token som innehas av kontrollantkontraktet för det här valvet, vilket är crvUSD.
Analysen är faktiskt tydlig här, ResupplyPair skapades med ett tomt valv, och hackaren överförde en viss mängd borrowed_token till kontrollkontraktet för valvet, och slutligen fick _exchangeRate återgå till noll, så att värdet på hans pantsatta tillgångar förstärktes oändligt, och han lånade ut upp till 10 miljoner reUSD till en mycket liten kostnad.
Attack Handel:
Adress till ResupplyPair-kontraktet:
Adress till kontrakt för Treasury controller:
Adress till Treasury Contract:
Adress till Oracle-kontrakt:
4,12 tn
0
Innehållet på den här sidan tillhandahålls av tredje part. Om inte annat anges är OKX inte författare till den eller de artiklar som citeras och hämtar inte någon upphovsrätt till materialet. Innehållet tillhandahålls endast i informationssyfte och representerar inte OKX:s åsikter. Det är inte avsett att vara ett godkännande av något slag och bör inte betraktas som investeringsrådgivning eller en uppmaning att köpa eller sälja digitala tillgångar. I den mån generativ AI används för att tillhandahålla sammanfattningar eller annan information kan sådant AI-genererat innehåll vara felaktigt eller inkonsekvent. Läs den länkade artikeln för mer detaljer och information. OKX ansvarar inte för innehåll som finns på tredje parts webbplatser. Innehav av digitala tillgångar, inklusive stabila kryptovalutor och NFT:er, innebär en hög grad av risk och kan fluktuera kraftigt. Du bör noga överväga om handel med eller innehav av digitala tillgångar är lämpligt för dig mot bakgrund av din ekonomiska situation.