Curve Finance、重大なバグを発見した研究者に 25 万ドルを授与

主要な分散型金融プラットフォームである Curve Finance は、最近、システム内の重大な脆弱性を発見したセキュリティ研究者に報奨金を与えました。 Kupia Security の Marco Croc 氏が発見したこの脆弱性により、ハッカーが残高を操作し、Curve Finance の流動性プールから資金を引き出すことが可能になる可能性がありました。 Curve Finance は徹底した調査を実施し、その貢献に対して最大のバグ報奨金を研究者に授与しました。

Curve Finance Rewards Researcher for Critical Vulnerability Discovery

Curve Finance が重大な脆弱性発見の研究者に報酬を与える

Jakarta, Indonesia - In a significant development, Curve Finance, a prominent decentralized finance (DeFi) platform, has bestowed a reward of 250 thousand US dollars (approximately IDR 4,063,750,000) to Marco Croc, a security researcher from Kupia Security. Croc's astute discovery of a critical vulnerability within Curve Finance's system has garnered widespread attention and underscored the importance of robust cybersecurity measures in the realm of decentralized finance.

インドネシア、ジャカルタ - 重要な進展として、著名な分散型金融（DeFi）プラットフォームであるカーブ・ファイナンスは、クピア・セキュリティのセキュリティ研究者マルコ・クロック氏に25万米ドル（約40億6,375万ルピア）の報酬を授与した。 Curve Finance のシステム内の重大な脆弱性を Croc が洞察力をもって発見したことは広く注目を集め、分散型金融の分野における堅牢なサイバーセキュリティ対策の重要性を強調しました。

Vulnerability Potential for Manipulation and Theft

脆弱性による改ざんや盗難の可能性

The reentrancy vulnerability unearthed by Marco Croc possesses the ability to empower malicious actors with the means to manipulate account balances and siphon funds from Curve Finance's liquidity pools. Such a scenario poses substantial risks to the platform's ecosystem, prompting Curve Finance to swiftly initiate a comprehensive investigation and extend the maximum bug bounty récompense to the researcher as a token of appreciation for their invaluable contribution.

Marco Croc によって発見されたリエントランシーの脆弱性は、悪意のある攻撃者に口座残高を操作し、Curve Finance の流動性プールから資金を吸い上げる手段を与える能力を備えています。このようなシナリオはプラットフォームのエコシステムに重大なリスクをもたらすため、Curve Finance は迅速に包括的な調査を開始し、研究者の貴重な貢献に対する感謝の印としてバグ報奨金の最大額を研究者に延長することを決定しました。

Importance of Responsible Hacking Ethics

責任あるハッキング倫理の重要性

While the vulnerability was not deemed to be of great severity, Curve Finance acknowledges that security incidents, regardless of their perceived magnitude, have the potential to generate apprehension among users. Consequently, the récompense serves as an incentive to foster responsible hacking ethics, thereby buttressing the defenses of the protocol against future exploitation attempts.

この脆弱性の深刻度はそれほど高くないとみなされましたが、Curve Finance は、セキュリティ インシデントは、その認識の大きさに関係なく、ユーザーに不安を引き起こす可能性があることを認めています。その結果、報酬は責任あるハッキング倫理を促進するインセンティブとして機能し、それによって将来の悪用の試みに対するプロトコルの防御を強化します。

Post-Attack Recovery Efforts

攻撃後の回復努力

This récompense is an integral aspect of Curve Finance's recovery strategy following a US$ 62 million attack in July. In an effort to restore the trust and assets of liquidity providers, the protocol recently conducted a vote to replace US$ 49.2 million (approximately IDR 799,644,000,0001) of lost assets. The proposal was overwhelmingly supported by 94% of Curve DAO (CRV) token holders, encompassing losses incurred across various pools, including JPEGd (JPEG), Alchemix (ALCX), and Metronome (MET).

この補償は、7 月に発生した 6,200 万米ドルの攻撃後のカーブ ファイナンスの再建戦略に不可欠な要素です。流動性プロバイダーの信頼と資産を回復するための取り組みとして、プロトコルは最近、4,920万米ドル（約IDR 799,644,000,0001）の失われた資産を置き換えるための投票を実施しました。この提案は、JPEGd (JPEG)、Alchemix (ALCX)、Metronome (MET) を含むさまざまなプール全体で発生した損失を含め、Curve DAO (CRV) トークン所有者の 94% によって圧倒的に支持されました。

Replacement Plan Details

交換計画の詳細

The replacement plan outlines the utilization of CRV tokens from community funds, coupled with the inclusion of tokens successfully recovered since the incident. Consequently, the final distribution will entail the disbursement of 55,544,782.73 CRV, with the computed amount of Ethereum (ETH) and CRV to be retrieved being 5,919.2226 ETH and 34,733,171.51 CRV, respectively.

代替計画には、コミュニティ基金からの CRV トークンの利用と、事件以降に正常に回収されたトークンが含まれることが概説されています。その結果、最終的な分配には 55,544,782.73 CRV の支払いが伴い、回収されるイーサリアム (ETH) と CRV の計算量は、それぞれ 5,919.2226 ETH と 34,733,171.51 CRV となります。

Technical Details of Vulnerability

脆弱性の技術的な詳細

As reported by Cryptonews, the vulnerability exploited by the perpetrators specifically targeted the liquidity pool mechanism designed to maintain stability. The vulnerability was found to be present in specific versions of the Vyper programming language (0.2.15, 0.2.16, and 0.3.0), enabling unauthorized withdrawal of funds through reentrancy attacks.

Cryptonews が報告したように、加害者によって悪用された脆弱性は、安定性を維持するために設計された流動性プール メカニズムを特に標的にしていました。この脆弱性は Vyper プログラミング言語の特定のバージョン (0.2.15、0.2.16、0.3.0) に存在することが判明しており、再入攻撃による不正な資金引き出しが可能になります。

Conclusion

結論

The discovery of this vulnerability and the subsequent reward to the responsible researcher underscore the criticality of cybersecurity measures in the burgeoning DeFi ecosystem. Curve Finance's commitment to responsible hacking ethics and proactive incident response serves as a testament to the importance of collaboration between security researchers and organizations in safeguarding the interests of users and maintaining the integrity of decentralized finance platforms.

この脆弱性の発見とその後の責任研究者への報奨金は、急成長するDeFiエコシステムにおけるサイバーセキュリティ対策の重要性を浮き彫りにしています。 Curve Finance の責任あるハッキング倫理とプロアクティブなインシデント対応への取り組みは、ユーザーの利益を保護し、分散型金融プラットフォームの完全性を維持する上で、セキュリティ研究者と組織間の協力が重要であることの証となります。