메타마스크 개발자 테일러 모나한은 가장 많이 사용되고 영향력 있는 분산 거래소 중 하나인 커브 파이낸스를 포함해 이번 주말 총 약 7천만 달러가 도난당한 것으로 추정했습니다. 분산형 NFT 프로토콜 JPEG와 함께 대출 프로토콜 Alchemix, 수익률 플랫폼 Pendle, 합성 자산 도구 Metronome도 모두 타격을 받았습니다.
googletag.cmd.push(함수(): {googlettag.display(‘js-dfp-tag-EA8’); };
이에 대해 디파이 대부업체들은 에이브를 포함한 다른 디파이 플랫폼에서 자금을 끌어내기 시작해 전문 금융 서브섹터 전반에 걸쳐 차입 수수료를 급등시켰다고 디파이언트는 보도했습니다.
이것은 코인데스크와 그 이후에 가장 중요한 암호화 뉴스를 매일 종합하는 노드 뉴스레터에서 발췌한 것입니다. 여기에서 뉴스레터 전체를 구독하시면 됩니다.
의심할 여지 없이 상황이 더 나쁠 수도 있었습니다. 약간의 반전으로, 화이트햇 해커들은 그들의 도난을 방지하기 위해 Curve의 몇몇 대출 풀에서 자산을 제거할 수 있었습니다. 또한 총 다섯 개의 악성 공격 중 세 개는 MEV(최대 추출 가능한 값) 전문가에 의해 “프론트 런”된 것으로 드러났습니다. MEV는 공개 블록체인이 작동하는 방식에 대해 논란이 있지만 막을 수 없는 측면으로, 제3자와 자동화된 기계가 이익을 위해 멤풀에 대기 중인 최종화되지 않은 트랜잭션을 검색하고 재정렬할 수 있습니다.
Coffeebabe.eth는 연결되지 않은 여러 해커에 의해 발생했을 수 있는 트랜잭션을 미리 실행하여 악성 공격 중 적어도 두 가지를 되돌리는 역할을 합니다. 온체인 데이터 제공업체(일명 “오라클” 시스템)인 체인링크도 공격에서 부문 전체의 부수적 피해를 방지했다는 점에서 찬사를 받고 있습니다. 에이브나 다른 디파이 대출 프로토콜과 같은 플랫폼이 (지금은 배수된) CRV/ETH 커브 풀을 온체인 오라클로 사용했다면, 그들은 완전히 부실 채권을 떠안았을 것입니다.”라고 링크 마린체인링크갓이 트위터에 올렸습니다. 맞아요, 하지만 어법일 수도 있어요.
공격의 특성은 이더리움에서 스마트 계약을 시작하는 데 특별히 사용되는 바이퍼라는 프로그래밍 언어에서 발견되는 취약성에 분명히 뿌리를 두고 있습니다. Curve 팀의 지원을 받은 프로그래밍 언어의 핵심 팀은 오래된 버전의 Vyper가 “재진입” 공격에 취약하다고 발표했습니다. 바이퍼 담당자는 버전 0.2.15, 0.2.16 및 0.3.0을 사용하는 프로젝트가 도움이 되어야 한다고 말했지만, 무엇이 잘못되었는지 진정으로 이해하는 데는 며칠, 몇 주 또는 몇 달이 걸릴 수 있습니다.
googletag.display js-dfp-tag-y3o’; }; {googletag.display {googletag.display (‘js-dfp-tag-y3o’;
암호화 세계의 해킹은 다른 곳의 해킹과 완전히 다릅니다. 공격자들이 도난당한 자금을 반환하는 것이 점점 더 흔해지고 있는데, 이는 본질적으로 블록체인에서 항상 추적할 수 있기 때문에 사람들이 전 세계가 알지 못하는 사이에 오염된 돈을 쓰거나 어디서든 현금화하는 것을 믿을 수 없을 정도로 어렵게 만들 수 있습니다. 당신은 이것이 암호화폐에서 공격이 덜 흔하다는 것을 의미한다고 생각할 수 있지만, 분명히 그렇지 않습니다. 바로 오늘, 보안 감사 회사 CertiK는 암호화폐 사용자들이 2023년 7월에만 악용으로 최소 3억 3백만 달러의 손실을 입었다고 주장했습니다.
공격의 기술적인 측면은 여전히 해결되고 있으며 전체적인 결과는 아직 알려지지 않았지만 최소한 한 가지 확실한 해결책이 있을 수 있습니다. 가장 인기 있는 탈중앙화 거래소 유니스왑의 배후에 있는 팀의 새로운 제품인 유니스왑X가 발표된 후 며칠 동안 본질적으로 오프체인 메커니즘을 사용하여 유니스왑 사용자의 거래 수수료 비용을 절약할 수 있습니다. 분명히 세계는 다음과 같은 방향으로 움직이고 있습니다: 코우스왑과 0x 및 현재 유니스왑X를 포함한 다양한 프로토콜은 모두 암호화 거래 오프체인의 일부 측면을 취하는 “최상의 실행” 모델을 사용하고 있습니다.
참고 항목: 해킹 공격을 호출하면 인적 오류를 최소화할 수 있습니다 | 의견
!function (e, f, u) {e.src = 1; e.src = u; f.parentNode.insertBefore(e, f); }(document.createElement(‘script’), document.getElementsByTagName(‘script’)[0], ‘/cdn.taboola.com/libtrc/nasdaq-nasdaq/loader.js’); 창입니다._taboola = 창입니다._tabola || []; _tabola.push({ mode: ‘thumbnails-a-mid’, 컨테이너: ‘tabola-mid-article-thumbnails’, 배치: ‘Mid Article Numbails’, target_type: ‘mix’}); _tabola.push({article: ‘auto’, url:’}); 이 용감한 암호 거래의 신세계는 어느 정도 의미가 있습니다. 경쟁사가 사용자를 유치하기 위해 혁신을 해야 하는 모든 시장에서 비용은 항상 0으로 증가할 것입니다. 암호화폐 거래자들은 또한 그들이 종종 더 나은 가격을 위해 완전한 온체인 암호화폐의 보장 중 일부를 기꺼이 거래할 것이라는 것을 보여주었습니다, 거래 속도가 빨라지거나 단지 보조금을 지급할 뿐입니다. 이것은 당신에게 유리하게 작용하는 것으로 추정되는 독점 거래 알고리즘의 베일 속에서 주문서 프로세스의 일부를 취할 때 발생하는 일입니다. “더 초핑 블록”의 동료들은 가장 최근 팟캐스트에서 이 모든 것에 대해 논의했습니다.
그러나 최근 디파이에 대한 검은 눈을 고려하면 온체인 거래 실행도 분명히 잘못될 수 있다는 점을 고려하면 블록체인이 상업에 가져다 주는 유일한 이점인 불변성과 투명성을 제거하는 것은 과도한 위험으로 보이지 않습니까? 블록체인의 미래가 무엇을 의미하는지는 모르겠지만, 점점 더 익숙한 AMM(자동화된 시장 메이커)의 세계가 아니라 더 프로그램적이고 자동화된 것처럼 보일 것이라는 말을 듣고 있습니다. 아마 그것이 실현될 수도 있지만, 여러분은 사람들이 암호화폐의 단점을 먼저 해결하고 싶어할 것이라고 생각할 것입니다.
gogletag.cmd.push(함수()) { gogletag.display(‘js-dfp-tag-X4A’; };
// Ex.co 스크립트 및 중간 아티클 배치( 함수 (d, s, n) {varjs, fjs = d.getElementsByTagName(s)[0]; js = d.createElements(s), js.className = n; js.s.src = “/player.ex.co/player/4c49b82f-103d-41ce-9191-ffa4d1f737fb”; fj.parentNode.Inservo, ‘Ex.co’s’s’s’document’를 실행합니다.inser.inter, place;.getElementsByClassName(‘비디오 자리 표시자’)[0]; varexcoDiv = document.createElement(‘div’); excoDiv.id = ‘4c49b82f-103d-41ce-9191-fa4f’fb’; if(video&document.getElementById){cf}, faf7f}, fafnff}, fafnedefnedefgetelementBybfgetelementBybf}
Decentralized finance (DeFi) is reeling from a recent spate of attacks on several key platforms on Sunday.
Some $70 million was stolen in total this weekend, including from Curve Finance, one of the most-used and influential decentralized exchanges, MetaMask developer Taylor Monahan estimated. Lending protocol Alchemix, yield platform Pendle and synthetic asset tool Metronome were all also hit, along with the decentralized NFT protocol JPEG.
In response, DeFi lenders began pulling funds out of other DeFi platforms including Aave, spiking borrowing fees across the specialized financial subsector, The Defiant reported.
This is an excerpt from The Node newsletter, a daily roundup of the most pivotal crypto news on CoinDesk and beyond. You can subscribe to get the full newsletter here.
Things undoubtedly could have been worse. In a something of a twist, white-hat hackers were able to remove assets from a few lending pools on Curve to prevent their theft. Moreover, three out of the five total malicious attacks were apparently “front run” by MEV (maximal extractable value) experts. MEV is a controversial, but unstoppable aspect of how public blockchains work, which allows third-parties and automated machines to search out and reorder unfinalized transactions waiting in the mempool for profit.
Coffeebabe.eth is responsible for reversing at least two of the malicious attacks by frontrunning the transactions, which may have been committed by multiple unconnected hackers. Chainlink, the on-chain data provider (aka “oracle” system), is also receiving some praise for preventing sector-wide collateral damage in the attack – but seemingly in a roundabout way. Had platforms like Aave or other DeFi lending protocols used the (now drained) CRV/ETH Curve pool as an on-chain oracle, they would have gotten completely rekt with bad debt,” LINK Marine ChainlinkGod tweeted. True enough, but maybe a tautology.
The nature of the attacks is apparently rooted in vulnerabilities found in a programming language called Vyper used specifically to launch smart contracts on Ethereum. The programming language’s core team – which was backed by the Curve team – announced that older versions of Vyper were vulnerable to “reentrancy” attacks. It could take days, weeks or months to truly understand what went wrong, though Vyper reps have said projects that use versions 0.2.15, 0.2.16 and 0.3.0 should reach out.
Hacks in the world of crypto are not exactly like hacks elsewhere. It’s increasingly common for attackers to return stolen funds, which are, by nature, always traceable on the blockchain, which can make it incredibly difficult for people to spend the tainted money or cash out anywhere without the entire world knowing about it. You’d think this would mean that attacks would be less common in crypto – but that is apparently not the case. Just today, security audit firm CertiK claimed that crypto users have lost at least $303 million from exploits in July 2023 alone.
While the technical aspects of the attacks are still being worked out, and the total fallout isn’t yet known, there may be at least one clear takeaway. In the days following the announcement of UniswapX, a new product from the team behind the most popular decentralized exchange Uniswap, which would essentially use off-chain mechanics to execute trades thereby saving Uniswap users in transaction fee costs, there has been talk about the future of DEXes. Apparently the world is moving in this direction: Cowswap and 0x and a bevy of protocols including now UniswapX are all using “best execution” models that take some aspects of crypto-trading off-chain.
See also: Calling a Hack an Exploit Minimizes Human Error | Opinion
!function (e, f, u) { e.async = 1; e.src = u; f.parentNode.insertBefore(e, f); }(document.createElement(‘script’), document.getElementsByTagName(‘script’)[0], ‘//cdn.taboola.com/libtrc/nasdaq-nasdaq/loader.js’); window._taboola = window._taboola || []; _taboola.push({ mode: ‘thumbnails-a-mid’, container: ‘taboola-mid-article-thumbnails’, placement: ‘Mid Article Thumbnails’, target_type: ‘mix’ }); _taboola.push({article:’auto’, url:”});
To some extent, this brave new world of crypto trading makes sense. In any market where competitors have to innovate to attract users, costs will always trend to zero. Crypto traders have also demonstrated that’d they would often be willing to trade in some of the assurances of fully on-chain crypto for better prices, faster transactions or just a leg-up – and that is exactly what happens when you take some of the order book process behind the veil of a proprietary trading algorithm supposedly working in your favor. The fellows on “The Chopping Block” discussed all this in their most recent podcast.
But, in light of this recent black eye for DeFi, considering that even on-chain trade execution can apparently go so wrong, doesn’t it seem like an outsized risk to take out the only benefit that blockchain brings to commerce: immutability and transparency? I don’t know what the future of blockchain holds, but I’m increasingly told that it will not look like the familiar world of AMMs (automated market makers), but something more programmatic and automated. Maybe that will come to pass, but you’d think people would want to work out the kinks of crypto first.
// Run Ex.co Script and mid-article placement (function (d, s, n) { var js, fjs = d.getElementsByTagName(s)[0]; js = d.createElement(s); js.className = n; js.src = “//player.ex.co/player/4c49b82f-103d-41ce-9191-ffa4d1f737fb”; fjs.parentNode.insertBefore(js, fjs); }(document, ‘script’, ‘exco-player’)); // Ex.co placeholder div var element = document.getElementsByClassName(‘video-placeholder’)[0]; var excoDiv = document.createElement(‘div’); excoDiv.id = ‘4c49b82f-103d-41ce-9191-ffa4d1f737fb’; if (element && document.getElementById(‘4c49b82f-103d-41ce-9191-ffa4d1f737fb’) == undefined) { element.append(excoDiv); }
