Curve Finance איז געווארן די לעצטע ציל אין אַ לאַנג רשימה פון עקספּלויץ וואָס האָבן דעסאַמייטיד די קריפּטאָ פּלאַץ אין 2022. דער פּראָטאָקאָל האָט געמאלדן אַז אַ עקספּלויט אויף די פּלאַץ ס נאַמעסערווער און פראָנט סוף ריזאַלטיד אין אַ אָנווער פון איבער $ 573,000. דער פּראָטאָקאָל האט זינט געמאלדן אַז דער פּראָבלעם איז געפֿונען און פאַרפעסטיקט.
$ 570,000 סטאָלען פֿון קורווע פינאַנסע
אָטאַמייטיד מאַרקעט מאַקער קורווע פינאַנסע גענומען צו טוויטטער אויף דינסטאג, ווארענונג יוזערז פון אַ גווורע אויף זיין פּלאַץ. די קורווע מאַנשאַפֿט יקנאַלידזשד די אַרויסגעבן וואָס אַפעקץ די פּלאַץ ס פראָנט-ענד און נאַמעסערווער, וואָס איז געווען אָרקעסטרייטיד דורך אַ בייזע אַקטיאָר. דער פּראָטאָקאָל סטייטיד אויף טוויטטער,
"מיר ווערן אַווער פון אַ פּאָטענציעל פראָנט-ענד אַרויסגעבן וואָס איז אַפּרוווינג אַ שלעכט קאָנטראַקט," די טעלעגראַם מעלדן לייענען. "דערווייַל, ביטע טאָן ניט דורכפירן קיין אַפּרווואַלז אָדער סוואַפּס. מיר פּרוּווט צו געפינען דעם אַרויסגעבן, אָבער איצט, פֿאַר דיין זיכערקייַט, טאָן ניט נוצן Curve.fi אָדער curve.exchange.
די מאַנשאַפֿט געמאכט אַ צווייטע מעלדן באַלד נאָך דער ערשט, שטייענדיק אַז זיי האָבן געפֿונען די מקור פון דעם פּראָבלעם און גערעדט דעם אַרויסגעבן. אָבער, דער פּראָטאָקאָל האָט געבעטן יוזערז צו צוריקציען קיין קאָנטראַקט אַפּרווואַלז וואָס זיי קען האָבן דורכגעקאָכט אין די לעצטע ביסל שעה ווען די פּראָטאָקאָל ס פראָנט-ענד און נאַמעסערווער זענען קאַמפּראַמייזד.
"אויב איר האָט באוויליקט קיין קאַנטראַקץ אויף קורווע אין די לעצטע שעה, ביטע אָפּרופן גלייך."
די באַפאַלן אויף קורווע קומט הייס אויף די כילז פון אן אנדער עקספּלויט, געליטן דורך נאָמאַד, לידינג די פּראָטאָקאָל צו פאַרלירן $ 190 מיליאָן.
וועקסל אַנאַפעקטיד
קורווע האָט געזאָגט אין אַ נאָכפאָלגן אַז זיין וועקסל, וואָס איז אַ באַזונדער פּראָדוקט, איז געווען אַנאַפעקטיד דורך די כאַק. דאָס איז ווייַל דער וועקסל ניצט אַ אנדערע פעלד נאָמען סיסטעם (דנס) שפּייַזער. דער פּראָטאָקאָל צוגעגעבן אַז יוזערז זאָל פאָרזעצן צו נוצן די Curve.exchange ביז Curve.fi קערט צו נאָרמאַל.
"די אַרויסגעבן איז געפֿונען און ריווערטיד. אויב איר האָט באוויליקט קיין קאַנטראַקץ אויף Curve אין די לעצטע ביסל שעה, ביטע אָפּרופן זיי גלייך. ביטע נוצן http://curve.exchange פֿאַר איצט ביז די פּראַפּאַגיישאַן פֿאַר http://curve.fi ריווערץ צו נאָרמאַל.
לויט Curve, דער העקער באוויזן צו האָבן געביטן דעם פעלד נאָמען סיסטעם פּאָזיציע פֿאַר Curve Finance. דעם פאָרווערדיד ניצערס צו אַ שווינדל קלאָון, וואָס באוויליקט אַ בייזע קאָנטראַקט. אָבער, די אָפּמאַך פון די פּראָגראַם איז נישט קאַמפּראַמייזד דורך די כאַק.
שרעק בעלז אויף טוויטטער
בשעת די באַפאַלן אויף קורווע פינאַנסע איז געווען אָנגאָינג, טוויטטער יוזערז ספּעקיאַלייטיד אויף די מקור פון די באַפאַלן. באַניצער LefterisJP האָט ספּעקיאַלייטיד אַז דער אַטאַקער האָט גענוצט DNS ספּאָאָפינג צו ויספירן די באַפאַלן אויף קורווע.
"עס איז דנס ספּאָאָפינג. קלאָונד די פּלאַץ, געמאכט די דנס פונט צו זייער IP ווו די קלאָונד פּלאַץ איז דיפּלויד, און צוגעגעבן האַסקאָמע ריקוועס צו אַ בייזע קאָנטראַקט.
אנדערע באנוצערס אויף טוויטער האבן שנעל געווארנט אנדערע באנוצער איבער דעם אנגייענדיגן אויסנוצן, זאגנדיג אז דער פראנט-ענד פון דעם פראטאקאל איז קאמפראמיסטירט געווארן, בשעת אנדערע האבן באמערקט אז דער העקער האט געגנבעט איבער $573,000.
א באַטייטיק פּראַל אויף די ויסבייג
די טיימינג פון די עקספּלויט קען נישט האָבן געווען ערגער פֿאַר Curve.finance, וואָס איז געווען ווינינג טויווע מיט אַנאַליס, וואָס האָבן סטייטיד אין יולי אַז טראָץ די לעצטע מאַרק דאַונטערן, קורווע פארבליבן אַ ווייאַבאַל אָפּציע אין דעם פּלאַץ. רעסעאַרטשערס האָבן עטלעכע סיבות פֿאַר זייער בוללישנאַס אַרום דעם פּראָטאָקאָל, ספּאַסיפיקלי ווייזן די גראָוינג פאָדערונג פֿאַר Curve DAO סימען דיפּאַזאַץ, די אָפּטראָג אַפּערטונאַטיז פון די פּראָטאָקאָל און זיין רעוועך דור דאַנק צו סטאַבלעקאָין ליקווידיטי.
די אָבסערוואַציע געקומען נאָך דער פּראָטאָקאָל לאָנטשט אַ נייַ אַלגערידאַם וואָס ערלויבט די וועקסל פון וואַלאַטאַל אַסעץ, פּראַמאַסינג צו לאָזן נידעריק-גליטשיק סוואַפּס צווישן קיין וואַלאַטאַל אַסעץ. די פּאָאָלס נוצן ינערלעך אָראַקאַלז און אַ באַנדינג ויסבייג מאָדעל, ביז אַהער דיפּלויד דורך מאַרק מייקערז אַזאַ ווי Uniswap.
אָפּלייקענונג: דער אַרטיקל איז בלויז צוגעשטעלט פֿאַר ינפאָרמיישאַנאַל צוועקן. עס איז ניט געפֿינט אָדער בדעה צו זיין געוויינט ווי לעגאַל, שטייער, ינוועסמאַנט, פינאַנציעל אָדער אנדערע עצה.
מקור: https://cryptodaily.co.uk/2022/08/curve-finance-asks-users-to-revoke-recent-contracts-after-dns-hack