Forscher entdecken kritischen Fehler im kryptografischen Protokoll und verdienen 250.000 US-Dollar

Der Sicherheitsforscher Marco Croc erhielt eine Belohnung von 250.000 US-Dollar für die Entdeckung einer Schwachstelle in Curve Finance, die es Hackern hätte ermöglichen können, Millionen von Dollar auszunutzen. Die Schwachstelle, ein Wiedereintrittsfehler, ermöglichte die Manipulation von Guthaben und den Abzug von Geldern aus Liquiditätspools. Curve Finance erkannte die Schwere des Fehlers an und gewährte Croc die maximale Fehlerprämie.

Researcher Uncovers Critical Crypto Protocol Vulnerability, Earns $250,000 Bounty

Forscher deckt kritische Sicherheitslücke im Krypto-Protokoll auf und erhält ein Kopfgeld von 250.000 US-Dollar

New York, NY - [Date] - Security researcher Marco Croc, operating under the pseudonym Kupia Security, has been bestowed with a $250,000 bug bounty for identifying a reentrancy vulnerability within the Curve Finance decentralized finance (DeFi) protocol. This flaw has been implicated in several high-profile crypto hacks, resulting in the illicit withdrawal of millions of dollars.

New York, NY – [Datum] – Der Sicherheitsforscher Marco Croc, der unter dem Pseudonym Kupia Security arbeitet, wurde mit einem Bug-Bounty in Höhe von 250.000 US-Dollar für die Identifizierung einer Wiedereintrittsschwachstelle im DeFi-Protokoll (Dezentral Finance) von Curve Finance ausgezeichnet. Dieser Fehler wurde in mehrere aufsehenerregende Krypto-Hacks verwickelt, die zum illegalen Abheben von Millionen von Dollar führten.

In a detailed analysis posted on the X thread, Croc laid bare the mechanics of the bug, demonstrating how it could be exploited to manipulate account balances and extract funds from liquidity pools. Curve Finance promptly acknowledged the existence of potential security flaws and deemed the vulnerability to be of utmost severity.

In einer detaillierten Analyse, die im X-Thread veröffentlicht wurde, legte Croc die Mechanismen des Fehlers offen und zeigte, wie er ausgenutzt werden könnte, um Kontostände zu manipulieren und Gelder aus Liquiditätspools abzuheben. Curve Finance erkannte umgehend das Vorhandensein potenzieller Sicherheitslücken und stufte die Schwachstelle als äußerst schwerwiegend ein.

Following a thorough investigation, Curve Finance awarded Croc the maximum allowable bug bounty of $250,000. "Curve recognized the severity of the vulnerability and acted swiftly to address it," Croc remarked.

Nach einer gründlichen Untersuchung sprach Curve Finance Croc die maximal zulässige Fehlerprämie von 250.000 US-Dollar zu. „Curve erkannte die Schwere der Schwachstelle und handelte schnell, um sie zu beheben“, bemerkte Croc.

Despite the critical nature of the flaw, Curve Finance expressed confidence that its security infrastructure would have mitigated any potential losses. Nonetheless, the protocol emphasized the potentially severe consequences of a full-blown security breach.

Trotz der kritischen Natur des Fehlers zeigte sich Curve Finance zuversichtlich, dass seine Sicherheitsinfrastruktur mögliche Verluste abgemildert hätte. Dennoch betonte das Protokoll die potenziell schwerwiegenden Folgen einer umfassenden Sicherheitsverletzung.

"While we believe our system would have ultimately recovered the funds in case of a breach, any security incident has the potential to cause significant panic in the market," Curve Finance stated.

„Obwohl wir davon ausgehen, dass unser System die Gelder im Falle eines Verstoßes letztendlich zurückgewonnen hätte, kann jeder Sicherheitsvorfall zu erheblicher Panik auf dem Markt führen“, erklärte Curve Finance.

This revelation comes on the heels of Curve Finance's recovery from a $62 million hack in July 2022. In response to the incident, the protocol implemented a reimbursement plan totaling $49.2 million in assets to liquidity providers (LPs).

Diese Enthüllung folgt auf die Erholung von Curve Finance nach einem 62-Millionen-Dollar-Hack im Juli 2022. Als Reaktion auf den Vorfall führte das Protokoll einen Rückerstattungsplan in Höhe von insgesamt 49,2 Millionen US-Dollar an Vermögenswerten an Liquiditätsanbieter (LPs) ein.

On-chain data reveals that 94% of tokenholders approved the disbursement of over $49.2 million to compensate for losses incurred by the Curve, JPEG'd (JPEG), Alchemix (ALCX), and Metronome (MET) pools. The Curve DAO (CRV) tokens were allocated from the community fund, and the final payout accounted for the tokens retrieved since the hack.

On-Chain-Daten zeigen, dass 94 % der Token-Inhaber der Auszahlung von über 49,2 Millionen US-Dollar zugestimmt haben, um die Verluste der Pools Curve, JPEG'd (JPEG), Alchemix (ALCX) und Metronome (MET) auszugleichen. Die Curve DAO (CRV)-Token wurden aus dem Gemeinschaftsfonds zugeteilt, und die endgültige Auszahlung entfiel auf die seit dem Hack zurückgewonnenen Token.

"The overall ETH (ETH) to recover was calculated as 5919.2226 ETH, the CRV to recover was calculated as 34,733,171.51 CRV, and the total to distribute was calculated as 55'544'782.73 CRV," the proposal outlined.

„Die gesamte zurückzugewinnende ETH (ETH) wurde mit 5919,2226 ETH berechnet, der zurückzugewinnende CRV wurde mit 34.733.171,51 CRV berechnet und die zu verteilende Gesamtsumme wurde mit 55.544.782,73 CRV berechnet“, heißt es in dem Vorschlag.

The vulnerability exploited by the attacker stemmed from stable pools that utilized certain versions of the Vyper programming language. Versions 0.2.15, 0.2.16, and 0.3.0 were found to be susceptible to reentrancy attacks, a common tactic used in DeFi hacks.

Die vom Angreifer ausgenutzte Schwachstelle rührte von stabilen Pools her, die bestimmte Versionen der Programmiersprache Vyper nutzten. Es wurde festgestellt, dass die Versionen 0.2.15, 0.2.16 und 0.3.0 anfällig für Wiedereintrittsangriffe sind, eine häufige Taktik, die bei DeFi-Hacks verwendet wird.

Croc's discovery underscores the ongoing challenges faced by the crypto industry in guarding against cyber threats. While protocols like Curve Finance invest heavily in security measures, vulnerabilities can still arise, putting user funds at risk.

Crocs Entdeckung unterstreicht die anhaltenden Herausforderungen, mit denen die Kryptoindustrie beim Schutz vor Cyber-Bedrohungen konfrontiert ist. Obwohl Protokolle wie Curve Finance stark in Sicherheitsmaßnahmen investieren, können dennoch Schwachstellen auftreten, die die Gelder der Benutzer gefährden.

The $250,000 bounty awarded to Croc serves as a testament to the importance of responsible disclosure and ethical hacking in safeguarding the crypto ecosystem. By uncovering and reporting critical flaws, researchers like Croc play a vital role in protecting the integrity of the industry and ensuring the safety of user assets.

Das an Croc ausgezahlte Kopfgeld in Höhe von 250.000 US-Dollar ist ein Beweis dafür, wie wichtig verantwortungsvolle Offenlegung und ethisches Hacken für den Schutz des Krypto-Ökosystems sind. Durch die Aufdeckung und Meldung kritischer Schwachstellen spielen Forscher wie Croc eine entscheidende Rolle beim Schutz der Integrität der Branche und der Gewährleistung der Sicherheit der Benutzerressourcen.