Curve Finance、重大な脆弱性を発見したセキュリティ研究者に250,000ドルを報奨
人気の分散型金融(DeFi)プロトコルCurve Financeは、歴史的にハッカーが仮想通貨プロトコルから数百万ドルを吸い上げることを可能にした重大な脆弱性を発見したセキュリティ研究者に250,000ドルを授与しました。
Kupia SecurityのMarco Crocとして知られるこの研究者は、Curve Financeのリエントランシーの脆弱性を特定し、このバグが残高を操作し、流動性プールから資金を引き出す可能性について詳しく説明しました。
Curve Financeは脆弱性の深刻さを認識し、徹底的な調査を実施し、その後Marco Crocに最高のバグ報奨金を授与しました。
Curve Financeがホワイトハットハッキングを奨励
脅威は”それほど危険ではない”と分類されたものの、プロトコルでは、セキュリティインシデントが発生した場合にパニックが発生する可能性があることを認識していると述べました。
この報酬により、Curve Financeは責任あるセキュリティ研究を奨励し、潜在的なエクスプロイトに対する防御を強化することを目指しています。
この開発は、7月に起きた62,000,000ドルのハッキングからCurve Financeが回復したことを受けて行われました。
プロトコルの修復努力の一環として、最近、49,200,000ドル相当の資産を流動性プロバイダー(LP)に償還することを決議しました。
この支払いはトークン保有者の94%によって承認され、Curve、JPEG’d(JPEG)、Alchemix(ALCX)、およびMetronome(MET)プールで発生した損失をカバーしました。
Just wanted to emphasize the scale of this. Victims are made whole with this vote with:
– $7.2M worth of ETH recovered by whitehats to the DAO being distributed
– $42M worth of CRV compensating unrecovered parts (vested)
– Other whitehat-recovered funds distributed before vote https://t.co/qmcK9pmTe5— Curve Finance (@CurveFinance) December 22, 2023
償還計画には、コミュニティ基金からのCurve DAO(CRV)トークンの使用が含まれます。
これにはインシデント以降に回収されたトークンも含まれており、最終的な配布額は55,544,782.73CRVになります。
回収されるイーサリアム(ETH)とCRVの量は、それぞれ5,919.2226ETHと34,733,171.51CRVと計算されました。
攻撃者によって悪用された脆弱性は安定したプールをターゲットにしており、Vyperプログラミング言語の特定のバージョンに影響を与えました。
Vyperのバージョン0.2.15、0.2.16、および0.3.0は、攻撃者が不正な資金引き出しを実行するために利用した再入攻撃の影響を受けやすいことが判明しました。
4月は暗号ハッキング被害の最低額を記録
仮想通貨業界は4月にハッキングと詐欺による複合損失で大幅な落ち込みを経験しました。
同月は、仮想通貨関連のハッキングと詐欺による損失総額が2021年以来最低となり、エクスプロイト、ハッキング、詐欺による損失額は約25,700,000ドルとなりました。
具体的には、月間を通じて攻撃により失われた額はわずか25,700,000ドルであり、CertiKが2021年にそのようなデータの追跡を開始して以来、最低額を記録しました。
フラッシュローン攻撃では129,000ドルの損失が発生し、最大の事件では55,000ドルの損害賠償が発生しました。
これは、フラッシュローン攻撃の発生率が2022年2月以来で最も低く、出口詐欺により4,300,000ドルが失われたということです。
報道されているように、今年の第1四半期にはWeb3ハッカーや詐欺により336,000,000ドルが損失され、1月だけで資本の半分近くが盗まれました。
それにもかかわらず、この数字は2023年の第1四半期と比較して23%の減少に相当します。
また、7つの特定の状況で、盗まれたWeb3資本から73,885,000ドルが回収されたことも注目に値します。