Curve Finance vergibt 250.000 US-Dollar an Forscher, die einen kritischen Fehler entdecken

Curve Finance, eine führende dezentrale Finanzplattform, hat kürzlich einen Sicherheitsforscher für die Entdeckung einer kritischen Schwachstelle in seinem System belohnt. Die von Marco Croc von Kupia Security entdeckte Schwachstelle könnte es Hackern ermöglicht haben, Guthaben zu manipulieren und Gelder aus den Liquiditätspools von Curve Finance abzuheben. Curve Finance führte eine gründliche Untersuchung durch und gewährte dem Forscher für seinen Beitrag eine maximale Fehlerprämie.

Curve Finance Rewards Researcher for Critical Vulnerability Discovery

Curve Finance belohnt Forscher für die Entdeckung kritischer Sicherheitslücken

Jakarta, Indonesia - In a significant development, Curve Finance, a prominent decentralized finance (DeFi) platform, has bestowed a reward of 250 thousand US dollars (approximately IDR 4,063,750,000) to Marco Croc, a security researcher from Kupia Security. Croc's astute discovery of a critical vulnerability within Curve Finance's system has garnered widespread attention and underscored the importance of robust cybersecurity measures in the realm of decentralized finance.

Jakarta, Indonesien – In einer bedeutenden Entwicklung hat Curve Finance, eine bekannte dezentrale Finanzplattform (DeFi), eine Belohnung von 250.000 US-Dollar (ca. 4.063.750.000 IDR) an Marco Croc, einen Sicherheitsforscher von Kupia Security, verliehen. Crocs kluge Entdeckung einer kritischen Schwachstelle im System von Curve Finance hat große Aufmerksamkeit erregt und die Bedeutung robuster Cybersicherheitsmaßnahmen im Bereich der dezentralen Finanzen unterstrichen.

Vulnerability Potential for Manipulation and Theft

Schwachstellenpotenzial für Manipulation und Diebstahl

The reentrancy vulnerability unearthed by Marco Croc possesses the ability to empower malicious actors with the means to manipulate account balances and siphon funds from Curve Finance's liquidity pools. Such a scenario poses substantial risks to the platform's ecosystem, prompting Curve Finance to swiftly initiate a comprehensive investigation and extend the maximum bug bounty récompense to the researcher as a token of appreciation for their invaluable contribution.

Die von Marco Croc aufgedeckte Wiedereintrittslücke bietet böswilligen Akteuren die Möglichkeit, Kontostände zu manipulieren und Gelder aus den Liquiditätspools von Curve Finance abzuschöpfen. Ein solches Szenario birgt erhebliche Risiken für das Ökosystem der Plattform und veranlasst Curve Finance, umgehend eine umfassende Untersuchung einzuleiten und dem Forscher als Zeichen der Wertschätzung für seinen unschätzbaren Beitrag die maximale Bug-Bounty-Vergütung auszuzahlen.

Importance of Responsible Hacking Ethics

Bedeutung einer verantwortungsvollen Hacking-Ethik

While the vulnerability was not deemed to be of great severity, Curve Finance acknowledges that security incidents, regardless of their perceived magnitude, have the potential to generate apprehension among users. Consequently, the récompense serves as an incentive to foster responsible hacking ethics, thereby buttressing the defenses of the protocol against future exploitation attempts.

Obwohl die Schwachstelle nicht als besonders schwerwiegend eingeschätzt wurde, erkennt Curve Finance an, dass Sicherheitsvorfälle, unabhängig von ihrem wahrgenommenen Ausmaß, das Potenzial haben, bei Benutzern Besorgnis hervorzurufen. Folglich dient die Vergütung als Anreiz zur Förderung einer verantwortungsvollen Hacking-Ethik und stärkt so die Abwehrkräfte des Protokolls gegen zukünftige Ausbeutungsversuche.

Post-Attack Recovery Efforts

Wiederherstellungsbemühungen nach dem Angriff

This récompense is an integral aspect of Curve Finance's recovery strategy following a US$ 62 million attack in July. In an effort to restore the trust and assets of liquidity providers, the protocol recently conducted a vote to replace US$ 49.2 million (approximately IDR 799,644,000,0001) of lost assets. The proposal was overwhelmingly supported by 94% of Curve DAO (CRV) token holders, encompassing losses incurred across various pools, including JPEGd (JPEG), Alchemix (ALCX), and Metronome (MET).

Diese Entschädigung ist ein integraler Bestandteil der Wiederherstellungsstrategie von Curve Finance nach einem 62-Millionen-US-Dollar-Angriff im Juli. Um das Vertrauen und die Vermögenswerte der Liquiditätsanbieter wiederherzustellen, hat das Protokoll kürzlich eine Abstimmung durchgeführt, um verlorene Vermögenswerte in Höhe von 49,2 Millionen US-Dollar (ca. 799.644.000.0001 IDR) zu ersetzen. Der Vorschlag wurde von 94 % der Curve DAO (CRV)-Token-Inhaber mit überwältigender Mehrheit unterstützt und umfasste Verluste in verschiedenen Pools, darunter JPEGd (JPEG), Alchemix (ALCX) und Metronome (MET).

Replacement Plan Details

Details zum Ersatzplan

The replacement plan outlines the utilization of CRV tokens from community funds, coupled with the inclusion of tokens successfully recovered since the incident. Consequently, the final distribution will entail the disbursement of 55,544,782.73 CRV, with the computed amount of Ethereum (ETH) and CRV to be retrieved being 5,919.2226 ETH and 34,733,171.51 CRV, respectively.

Der Ersatzplan beschreibt die Verwendung von CRV-Token aus Gemeinschaftsmitteln sowie die Einbeziehung von Token, die seit dem Vorfall erfolgreich wiederhergestellt wurden. Folglich wird die endgültige Verteilung die Auszahlung von 55.544.782,73 CRV mit sich bringen, wobei der berechnete Betrag an Ethereum (ETH) und CRV, der abgerufen werden soll, 5.919,2226 ETH bzw. 34.733.171,51 CRV beträgt.

Technical Details of Vulnerability

Technische Details der Sicherheitslücke

As reported by Cryptonews, the vulnerability exploited by the perpetrators specifically targeted the liquidity pool mechanism designed to maintain stability. The vulnerability was found to be present in specific versions of the Vyper programming language (0.2.15, 0.2.16, and 0.3.0), enabling unauthorized withdrawal of funds through reentrancy attacks.

Wie Cryptonews berichtet, zielte die von den Tätern ausgenutzte Schwachstelle speziell auf den Liquiditätspool-Mechanismus ab, der die Stabilität gewährleisten soll. Es wurde festgestellt, dass die Sicherheitslücke in bestimmten Versionen der Vyper-Programmiersprache (0.2.15, 0.2.16 und 0.3.0) vorhanden ist und das unbefugte Abheben von Geldern durch Wiedereintrittsangriffe ermöglicht.

Conclusion

Abschluss

The discovery of this vulnerability and the subsequent reward to the responsible researcher underscore the criticality of cybersecurity measures in the burgeoning DeFi ecosystem. Curve Finance's commitment to responsible hacking ethics and proactive incident response serves as a testament to the importance of collaboration between security researchers and organizations in safeguarding the interests of users and maintaining the integrity of decentralized finance platforms.

Die Entdeckung dieser Schwachstelle und die anschließende Belohnung des verantwortlichen Forschers unterstreichen die Bedeutung von Cybersicherheitsmaßnahmen im aufstrebenden DeFi-Ökosystem. Das Engagement von Curve Finance für verantwortungsvolle Hacking-Ethik und proaktive Reaktion auf Vorfälle ist ein Beweis dafür, wie wichtig die Zusammenarbeit zwischen Sicherheitsforschern und Organisationen für die Wahrung der Interessen der Benutzer und die Wahrung der Integrität dezentraler Finanzplattformen ist.