Curve Finance vergibt 250.000 US-Dollar an Entwickler für das Auffinden einer Reentrancy-Schwachstelle

Cointelegraph · 2024-05-01T10:43:07.000Z

Ein Sicherheitsforscher erhielt 250.000 US-Dollar Belohnung für die Entdeckung einer Schwachstelle, die es Hackern in der Vergangenheit ermöglichte, Millionen von Dollar aus Kryptowährungsprotokollen zu ziehen. Der unter einem Pseudonym agierende Cybersicherheitsforscher Marco Croc von Kupia Security hat eine Reentrancy-Schwachstelle im dezentralisierten Finanzprotokoll (DeFi) Curve Finance identifiziert. In einem X-Thread erklärte er, wie der Fehler ausgenutzt werden könnte, um Guthaben zu manipulieren und Geld aus Liquiditätspools abzuziehen. Curve Finance hat potenzielle Sicherheitsmängel erkannt und „die Schwere der Schwachstelle erkannt“, erklärte Marco Croc. Nach einer gründlichen Untersuchung vergab Curve Finance Marco Croc die maximale Bug-Bounty-Prämie von 250.000 US-Dollar.

Un chercheur en sécurité a été récompensé de 250 000 dollars pour avoir découvert une vulnérabilité qui a historiquement permis aux pirates informatiques de retirer des millions de dollars des protocoles de cryptomonnaie.
Le chercheur pseudonyme en cybersécurité Marco Croc de Kupia Security a identifié une vulnérabilité de réentrance dans le protocole de finance décentralisée (DeFi) Curve Finance.
Dans un fil de discussion X, il a expliqué comment le bug pouvait être exploité pour manipuler les soldes et retirer des fonds des pools de liquidités.
Curve Finance a reconnu les failles de sécurité potentielles et « a reconnu la gravité de la vulnérabilité », a expliqué Marco Croc. Après une enquête approfondie, Curve Finance a attribué à Marco Croc son bug bounty maximum de 250 000 $.
Source : Courbe Finance
Selon Curve Finance, la menace a été classée comme « moins dangereuse » et ils pensaient pouvoir récupérer les fonds volés dans un tel cas.
Cependant, le protocole précise qu’un incident de sécurité, quelle qu’en soit l’ampleur, « aurait pu provoquer une grave panique s’il s’était produit ».
Related: La dette de Curve Finance provoquera « un test de résistance supplémentaire » en février — Analyste
Curve Finance s'est récemment remis d'un piratage de 62 millions de dollars en juillet. Dans le cadre du retour à la normale, le protocole DeFi a voté le remboursement d'actifs d'une valeur de 49,2 millions de dollars aux fournisseurs de liquidité (LP).
Source : Courbe Finance
Les données en chaîne confirment que 94 % des détenteurs de jetons ont approuvé le décaissement de jetons d'une valeur de plus de 49,2 millions de dollars pour couvrir les pertes des pools Curve, JPEG'd (JPEG), Alchemix (ALCX) et Metronome (MET).
Selon la proposition de Curve, le fonds communautaire fournira les jetons Curve DAO (CRV). Le montant final comprend également une déduction pour les jetons récupérés depuis l'incident.
"L'ETH global (ETH) à récupérer a été calculé à 5919,2226 ETH, le CRV à récupérer a été calculé à 34 733 171,51 CRV et le total à distribuer a été calculé à 55 544 782,73 CRV", lit-on dans la proposition.
L'attaquant a exploité une vulnérabilité sur les pools stables en utilisant certaines versions du langage de programmation Vyper. Le bug rendait les versions 0.2.15, 0.2.16 et 0.3.0 de Vyper vulnérables aux attaques de réentrée.
Magazine : 68 % des runes sont dans le rouge — Sont-elles vraiment une mise à niveau pour Bitcoin ?

Curve Finance attribue 250 000 $ au développeur pour avoir découvert une vulnérabilité de réentrée

Découvrez-en plus sur le créateur

Dernières actualités