З приводу @ResupplyFi нещасного випадку виникає багато асоціацій та емоцій, і тут я хочу сказати кілька моментів, а також сподіваюся допомогти вам прояснити якийсь контекст:
По-перше, команда @CurveFinance не брала участі в розробці Resupply, про що @newmichwill було публічно роз'яснено, що ніхто зсередини Curve не приєднався до проекту. А сам Resupply – це SubDAO @yearnfi, про що також зазначено в їхньому офіційному Twitter. Resupply вибрала crvUSD як один з базових активів, що є вибором протоколу і не означає, що Curve істотно пов'язаний.
І все ж це була прикра подія. Розробник Resupply @C2tP в кінцевому підсумку пожертвував понад 1,39 мільйона доларів зі своєї кишені на погашення проблемних боргів, і таке відповідальне ставлення заслуговує на повагу.
З іншого боку, я також хотів би висловити особливу подяку керівнику @ohyishi та наглядовій ролі, яку він представляє. Його спостереження, критика та занепокоєння щодо Prisma, Resupply і навіть Curve у Twitter насправді дуже важливі. У світі DeFi, децентралізованих фінансів, без цих людей, які продовжують ставити питання, ми не побачимо ризиків і не зможемо прогресувати.
Позитивні чи негативні, ці голоси змушують протокол усвідомлювати проблеми користувачів і навчають команду проєкту, як чіткіше формулювати, керувати та реагувати на запити спільноти. Роль, яку представляє Іші, сама по собі є внеском. Це не просто технічне правильне чи неправильне, це взаємне нагадування про цінності.
Починаючи з літа DeFi і до сьогодні, ми спостерігаємо багато інновацій і багато збоїв. Народження Uniswap, Aave і Curve – це результат серії експериментів, які не бояться провалів. Але в останні роки все більше і більше угод вибирають консервативність і уникають інновацій, тому що новий контракт може означати під загрозою мільйони доларів.
Цей застій насправді є більшим ризиком.
Замість того, щоб просто вшановувати літо DeFi минулого року, ми повинні запитати: чи можемо ми створити його знову? Чи можна терпіти невдачі, захищати інновації та миритися з колективним навчанням?
- - - - - Пов'язані посилання - -
👉🏻
👉🏻
- - - - - Пов'язані посилання - -
Нарешті, я жодним чином не пов'язаний з командою Resupply і не брав участі в її гірничодобувній діяльності. Це лише деякі з моїх спостережень та думок як стороннього спостерігача, учасника DeFi та будівельника.
Побачивши, як бос onekey захищає свої права та поповнення, втрачаючи кілька активів M, він поскаржився, що Defi насправді занадто крихкий. Озирнувшись навколо, я, здається, не дуже розумів, як хакери атакували, тому я сам провів деякі дослідження і поділився ним з вами:
Головним героєм історії є ResupplyPair, користувач може брати в борг і позичати шляхом стейкінгу активів, а модифікатор isSolvent в контракті відповідає за перевірку того, чи має право користувач позичати запитувані активи, конкретна логіка коду така:
Розрахунок LTV ви можете подивитися на рядку 282, якщо у нас є спосіб встановити _exchangeRate на 0, то чи не завжди перевірка буде вірною? Продовжити читання коду:
Ви можете побачити, що змінна для цього значення приходить від дзвінка до оракула getPrices, і є знаменником, іншими словами, нам потрібно зробити ціну застави гранично великою.
Читаючи код оракула, можна побачити, що getPrice – це просто шар пересилання, який фактично викликає інтерфейс convetToAssets активу стейкінгу (тобто сховище). Продовжити читання коду:
Ви можете бачити, що цей результат складається з дуже складних математичних операцій, тут хакер за рахунок посилення молекули, далі total_assets, щоб завершити атаку, подивіться на _total_assets реалізацію функції можна знайти:
Це значення пов'язане з borrowed_token, що утримується контрактом контролера цього сховища, який є crvUSD.
Аналіз тут насправді зрозумілий, ResupplyPair був створений з порожнім сховищем, і хакер перевів певну суму borrowed_token на контракт контролера сховища, і нарешті змусив _exchangeRate повернутися до нуля, так що вартість його заставлених активів нескінченно посилилася, і він позичив до 10 мільйонів reUSD за дуже невелику вартість.
Торгівля атаками:
Адреса контракту ResupplyPair:
Адреса договору контролера казначейства:
Адреса казначейського контракту:
Адреса договору Oracle:
4,14 тис.
0
Вміст на цій сторінці надається третіми сторонами. Якщо не вказано інше, OKX не є автором цитованих статей і не претендує на авторські права на матеріали. Вміст надається виключно з інформаційною метою і не відображає поглядів OKX. Він не є схваленням жодних дій і не має розглядатися як інвестиційна порада або заохочення купувати чи продавати цифрові активи. Короткий виклад вмісту чи інша інформація, створена генеративним ШІ, можуть бути неточними або суперечливими. Прочитайте статтю за посиланням, щоб дізнатися більше. OKX не несе відповідальності за вміст, розміщений на сторонніх сайтах. Утримування цифрових активів, зокрема стейблкоїнів і NFT, пов’язане з високим ризиком, а вартість таких активів може сильно коливатися. Перш ніж торгувати цифровими активами або утримувати їх, ретельно оцініть свій фінансовий стан.