一位安全研究人员因发现一个漏洞而获得了 25 万美元的奖励,该漏洞曾允许黑客从加密货币协议中窃取数百万美元。
Kupia Security 的匿名网络安全研究员 Marco Croc 发现了去中心化金融 (DeFi) 协议 Curve Finance 中的重入漏洞。
在 X 线程中,他解释了如何利用该漏洞来操纵余额并从流动池中提取资金。
Curve Finance 承认存在潜在的安全漏洞,并“认识到漏洞的严重性”,Marco Croc 解释道。经过彻底调查后,Curve Finance 向 Marco Croc 颁发了最高 25 万美元的漏洞赏金。
来源:Curve Finance
Curve Finance 表示,该威胁被归类为“不太危险”,他们相信在这种情况下可以追回被盗资金。
然而,该协议指出,任何规模的安全事件“如果发生都可能引起严重恐慌”。
相关:分析师:Curve Finance 债务将在 2 月份引发“又一次压力测试”
Curve Finance 最近从 7 月份遭受的 6200 万美元黑客攻击中恢复过来。作为恢复正常状态的一部分,DeFi 协议投票决定向流动性提供者 (LP) 偿还价值 4920 万美元的资产。
来源:Curve Finance
链上数据证实,94% 的代币持有者批准支付价值超过 4920 万美元的代币,以弥补 Curve、JPEG’d (JPEG)、Alchemix (ALCX) 和 Metronome (MET) 池的损失。
根据 Curve 的提议,社区基金将提供 Curve DAO(CRV)代币。最终金额还包括自事件发生以来收回的代币的扣除额。
提案中写道:“需要收回的总 ETH(ETH)计算为 5919.2226 ETH,需要收回的 CRV 计算为 34,733,171.51 CRV,需要分配的总额计算为 55’544’782.73 CRV。”
攻击者利用了使用 Vyper 编程语言某些版本的稳定池中的漏洞。该漏洞使 Vyper 的 0.2.15、0.2.16 和 0.3.0 版本容易受到重入攻击。
杂志:68% 的 Runes 都处于亏损状态——它们真的是比特币的升级版吗?
