&emoji=&slug=kriptovijesti&button_colour=b532ed&font_colour=ffffff&font_family=Poppins&outline_colour=ffffff&coffee_colour=FFDD00)
Dok se decentralizirani financijski ekosustav kriptovalute u nedjelju potresao zbog 52 milijuna dolara ukradenih od Curve Financea, jedan trgovački bot uskočio je u sukob. Njegova misija: kopirati napadače na slobodi, osigurati milijune dolara u kriptovaluti prije nego što nestane, a zatim sve to vratiti u očitoj intervenciji bijelog šešira.
Problem s programskim jezikom Vyper, koji se koristi za pisanje pametnih ugovora na Ethereum blockchainu, pod uvjetom prozor mogućnosti za eksploatacije koje uključuju prikupljanje likvidnosti na Curve Finance, jednoj od DeFi-jevih burzi.
U vrijeme pisanja ovog teksta, Curve ima zaključanu ukupnu vrijednost od 1,6 milijardi dolara, pad od 42% u odnosu na prošli dan, ali još uvijek značajan dio Ethereumovog DeFi krajolika vrijednog 23 milijarde dolara, prema DefiLlama.
Napadači su manipulirali cijenom tokena u nekoliko fondova likvidnosti, gdje se jedan token može zamijeniti za drugi. Nedavno izvještaji iz sigurnosne tvrtke za blockchain PeckShield procjenjuju da je izgubljeno 52 milijuna dolara. Ali napadači se nisu izvukli s cijelom zalihom.
Netko je iskoristio exploit u Curveovom CRV-ETH fondu likvidnosti—gdje se Ethereum može zamijeniti za upravljački token burze, Curve DAO (CRV)—da u izvjesnom smislu eksploatiraju eksploatatore. Transakcija je koštala oko 32 USD kriptovalute u transakcijskim naknadama, ali je dala rezultate 2,879 Ethereum—profit od oko 5,4 milijuna dolara.
The 2,879 Ethereum naposljetku vratio u Curve bot koji nosi naziv “c0ffeebabe.eth”, prema Etherscan. Ethereum adrese prema zadanim su postavkama dugačak niz alfanumeričkih znakova, ali vlasnik bota dao mu je čovjeku čitljivo ime pomoću Ethereum Name Service. PeckShield također pripisuje botu da je ugrabio još 1,6 milijuna dolara od protokola sintetičke imovine Metronome, ali još nije jasno jesu li ta sredstva također vraćena. PeckShield nije odmah odgovorio Dešifriratizahtjev za pojašnjenje.
Radnja bota bila je unosna arbitražna igra u djeliću sekunde, koja je uključivala brze zajmove i decentraliziranu razmjenu Uniswaprekao je Yixin Cao, vodeći znanstvenik za podatke na DeFi platformi za analizu EigenPhi Dešifrirati.
“Ne može puno glumaca raditi ovakve stvari”, rekla je. “Postoji mnogo sofisticiranih napadača, ali ova vrsta arbitraže zahtijeva vrlo detaljno znanje.”
Uniswap i Balancer
EigenPhi-jev slom transakcije opisuje 16 različitih koraka koje je poduzeo bot—ali igra je ovisila o dva različita DeFi projekta.
Trgovina C0ffeebabe.eth u djeliću sekunde prvi je iskoristila Balancer, protokol likvidnosti, za brzi zajam od 100 Ethereuma. Brzi zajmovi nisu kolateralizirani i zahtijevaju da ih dužnici vrate unutar iste transakcije.
Zatim, Uniswap je bio bitan, rekao je Cao, jer je omogućio c0ffeebabe.eth da iskoristi razliku između CRV-ove cijene na Uniswapu i Curveu koji je planirao stvoriti koristeći Vyper bug. Bot je zamijenio 70 Ethereuma za više od 190 000 CRV koristeći Uniswap.
Početni nalet od 30.000 CRV usmjeren na Curveov CRV-ETH skup uzrokovao je da ga Vyper bug izbaci iz ravnoteže. Dopušteno neuravnoteženo stanje bazena c0ffeebabe.eth za razmjenu svog preostalog CRV-a za 2949 Ethereuma — 317 puta više nego što bi inače mogao dobiti bez eksploatacije.
Nakon što je brzi zajam otplaćen, c0ffeebabe.eth je imao pozamašnu dobit.
Eksploatacija Vypera pretvorila je ono što bi bila mala igra u veliku, rekao je Cao. Bez iskorištavanja ranjivosti, c0ffeebabe.eth bi otišao sa samo 9,3 Ethereuma na temelju simulacije koju je proveo EigenPhi.
Nada na lancu
Nedugo nakon što je djelo obavljeno, c0ffeebabe.eth je emitirao poruku koristeći interne podatkovne poruke (IDM), koje omogućuju slanje poruka na Ethereumov blockchain.
“Premještanje sredstava u hladni novčanik za sada, pogođeni protokoli mogu kontaktirati putem etherscan chata,” osoba iza bota rekao je on-chain, signalizirajući da će ukradena sredstva sigurno držati u digitalnom novčaniku koji ima privatne ključeve izolirane od interneta.
“Deployer from Curve”, jedan Ethereum račun odgovorio on-chain, identificirajući se kao dio Curve tima. “Jedan prijenos koji ste prednjačili bio je hakiranje CRV/ETH poola. Može li povrat?”
Reklo je nekoliko stručnjaka za sigurnost blockchaina Dešifrirati da se trgovina c0ffeebabe.eth nije činila primjerom prednjačenja. Bez obzira na to, bot se na kraju rastao s onim što bi mu bila najveća isplata ikad.
Prije nedjelje, c0ffeebabe.eth je prikupio oko 29.000 dolara dobiti kroz različite arbitražne transakcije, prema EigenPhi’s račun profiler. Iako je nedjeljni unos zasjenio dosadašnju izvedbu bota, to nije spriječilo c0ffeebabe.eth da ispuni svoju nesebičnu uslugu s bijelim šeširom.
 &emoji=&slug=kriptovijesti&button_colour=b532ed&font_colour=ffffff&font_family=Comic&outline_colour=ffffff&coffee_colour=FFDD00)
