Curve-Vyperの脆弱性 これまでの全体の経緯

Curve-Vyper脆弱性の経緯

分散型金融(DeFi)エコシステムは、セキュリティ上の重大なインシデントにより、Curve Financeのプールから6100万ドル以上が盗まれ、いくつかのプロトコルがより広範な感染リスクに直面しているという困難な週を経験しました。

この攻撃は、DeFiプロジェクト全体で脆弱性を露呈し、過去数日間にわたって盗まれた資金を回収する取り組みが始まりました。

コミュニティがこの攻撃の余波を乗り越える中で、Cointelegraphは7月30日のハッキング以降の出来事をまとめ、タイムラインとして紹介しています。

ハック:再入可能性の脆弱性により、Curve Financeのプールから6100万ドル以上が悪用される

2023年7月30日、Vyperプログラミング言語を使用したCurve Financeの複数の安定プールが悪用され、損失は6100万ドル以上に達しました(当初の損失は4700万ドルと推定されていました)。この脆弱性は、Vyperのバージョン0.2.15、0.2.16、および0.3.0で見つかりました。

この攻撃により、いくつかのDeFiプロジェクトが影響を受けました。分散型取引所(DEX)のEllipsisは、古いVyperコンパイラを使用してBNB(BNB)を持つわずかな数の安定プールが悪用されたと報告しました。また、AlchemixのalETH-ETHも攻撃により1360万ドルの資金流出があり、JPEGdのpETH-ETHプールから1140万ドル、MetronomeのsETH-ETHプールから160万ドルが悪用されたことも確認されました。さらに、Curve FinanceのCEOであるMichael Egorovは、2200万ドル以上の価値がある32,000,000 Curve DAO(CRV)トークンがスワッププールから抜き取られたことを確認しました。

CurveのMichael Egorovは2023年7月30日に32,000,000 Curve DAOトークンの盗難を確認しました。出典:Telegram/LobsterDAO

BNBスマートチェーン(BSC)も同じ脆弱性の影響を受け、3つの悪用によりBSC上の暗号通貨約73,000ドルが盗まれました。

この攻撃の報道以降、ホワイトハットハッカーとブラックハットハッカーがオンチェーン上で攻撃を妨害したり、資金の回収を試みたりするなど、互いに対抗しています。

予備的な調査では、いくつかのVyperコンパイラのバージョンが再入ガードを正しく実装していないことがわかりました。再入ガードは、契約をロックすることで同時に複数の関数が実行されるのを防ぐものです。

影響:Vyperの脆弱性がDeFiエコシステムをストレステストにさらし、CRV価格が急落

このセキュリティインシデントにより、次の数日間、DeFiプロトコルはストレステストにさらされ、暗号エコシステムへの攻撃の影響について懸念が高まりました。特に、この脆弱性により、ウラップトEther(WETH)を持つすべてのプールが攻撃のリスクにさらされる可能性があります。

Vyperは、Ethereum仮想マシン向けに設計された契約プログラミング言語です。これは最も広く使用されているWeb3プログラミング言語の1つとされており、その3つのバージョンのバグが他のいくつかのプロトコルを脅かす可能性があります。

この攻撃により、最大抽出可能価値(MEV)報酬ブロックの1つが584.05 Ether(ETH)となりました。Ethereumコア開発者の「eric.eth」によると、ボットはメンプールでのハッキングを検知し、トランザクションを再現し、それをフロントランします。「これを行うために、彼らはブロックプロデューサーに多額のETHを支払い、先頭に立つのです」と彼は説明しています。MEVボットは、保留中の清算トランザクションを見ることができ、それらに先んじて割引価格で清算資産を購入するためにフロントランします。

本日は、Ethereumの歴史上最大のMEV報酬ブロックがいくつか生まれました。スロット6,992,273:584 ETHスロット6,993,342:345 ETHスロット6,992,050:247 ETHスロット6,993,346:51 ETH

— eric.eth (@econoar) 2023年7月30日

CurveのCEOが担保付きローンの返済に追われる

他の脅威もDeFi全体に波及する可能性があります。Curve Financeの創設者であるMichael Egorovは、同プロトコルのネイティブトークンであるCRVの流通供給量の47%を担保にした約1億ドルのローンを抱えています。

しかし、ハックの後、CRVの価格はほぼ30%下落し、Egorovの担保付きローンが清算されることを恐れて0.48ドルまで低下しました。

Egorovは負債ポジションを減らすために、Justin Sun、Machi Big Brother、DWF Labsを含むいくつかの注目のDeFi投資家に39.25百万CRVトークンを合計1580万ドルで売却しました。購入者はその時の市場価格から25%割引の0.40ドルでCRVを購入しました。さらに、EgorovはAaveとFrax Financeの2つのローンに対して部分的な支払いを行いました。

CEX価格フィードがCurve価格の崩壊を防ぐ

CRVトークンの価格は、いくつかのプールの大幅な排出によりDeFi市場で崩壊しましたが、最終的には中央集権型取引所(CEX)の価格フィードによって救われました。CRVの価格はDEXでは0.086ドルまで下落しましたが、CEXでは0.60ドルで取引され、トークンの価格がゼロに崩壊するのを防ぎました。

この皮肉な出来事は、DeFiプロトコルを救ったのは結局CEX価格フィードだったということになり、バイナンスCEOのChangpeng Zhaoの注目を引きました。

また、不確実な環境に反応して、CurveのネイティブステーブルコインであるcrvUSDは8月3日に一時的にドルとのペッグから外れました。アルゴリズムステーブルコインのcrvUSDは、供給と需要をバランスさせながら、適切な担保によってcrvUSDの価値が支えられるメカニズムであるPegKeeperアルゴリズムを使用しています。

DeFiコミュニティ:倫理的ハッカーがエキスプロイトの中でCurve Financeから540万ドルを回収

危機の中、DeFiコミュニティはCurve Financeを支えました。7月31日、ホワイトハットハッカーが約2,879イーサ(約540万ドル相当)をエキスプロイターから回収し、ETHをCurve Financeに返却しました。数時間後、別の倫理的ハッカーが約3,000イーサを押収し、ETHをCurveのデプロイアドレスに返却しました。

Egorovのローンの清算を恐れて、Huobiの共同創設者であるJun Duは、CurveのCEOから400万ドルで1000万CRVを購入しました。さらに、Aave Chanの創設者であるMarc Zellerは、Aave Treasuryがプロトコルから200万ドル相当のCRVトークンを購入することを提案しました。提案によれば、この取得はDeFiプレイヤーがエコシステムの健全性をサポートすることを示すものです。

crvUSDはどうなる?ショックイベントに対して価格はどう反応するのか、ペッグから外れるのか?最近の出来事は何か意味でSVB/USDCの状況に似ていると感じました。ただし、crvUSDはわずか0.35%下落し、現在はペッグから0.1%離れています。

— Curve Finance (@CurveFinance) August 3, 2023

クロスチェーンレンディングプラットフォームのAbracadabra Moneyも、CRVへの露出に関連するリスクを管理するために、未払いのローンの利率を引き上げることを提案しました。

資金の返金:Curve、Metronome、Alchemixが10%のバグバウンティを提供し、ハッカーが受け取る

8月3日、Curve、Metronome、Alchemixは、Curveのプールの最近のエキスプロイトから盗まれた資金を回収するためのイニシアチブを共同で発表しました。プロトコルは押収された資金の10%バウンティを報酬として提供し、エキスプロイトの責任を負う者に前進して残りの90%を返還するよう呼びかけました。これによりバウンティは約700万ドルに近づきます。

このオファーには、さらなる法的措置や法執行機関の介入はないという保証が付いていました。プロトコルはハッカーに対して「文明的な方法でこれを解決したい」と書きました。

24時間以内に、8月4日に、数百万ドルのエキスプロイトの元攻撃者がバウンティオファーを受け入れ、数日前に盗まれた資金を返還し始めたようです。ハッカーはAlchemix Financeチームに約4,820.55 Alchemix ETH(約8,889,118ドル相当)を、またCurve Financeチームに1 ETH(約1,844ドル相当)を送り返しました。

攻撃者はまた、アルケミックスとカーブのチームに向けたメッセージも投稿しました。その中で、資金を返却する意思があると主張していますが、それは攻撃者が捕まったからではなく、関与するプロジェクトを「台無し」にしたくなかったからだけだと述べています。

2023年8月4日にプロトコルに送信された攻撃者のメッセージ。出典:Etherscan

現時点では、総額890万ドル相当の仮想通貨が返却されており、被害総額の約15%に相当します。