研究者が暗号プロトコルの重大な欠陥を発見、25万ドルを獲得

セキュリティ研究者のマルコ・クロック氏は、ハッカーが数百万ドルを悪用できる可能性があるカーブ・ファイナンスの脆弱性を発見し、25万ドルの報奨金を受け取った。この脆弱性（再入バグ）により、残高の操作や流動性プールからの資金の引き出しが可能になりました。 Curve Finance は欠陥の深刻さを認め、Croc に最大のバグ報奨金を授与しました。

Researcher Uncovers Critical Crypto Protocol Vulnerability, Earns $250,000 Bounty

研究者が暗号プロトコルの重大な脆弱性を発見、25万ドルの報奨金を獲得

New York, NY - [Date] - Security researcher Marco Croc, operating under the pseudonym Kupia Security, has been bestowed with a $250,000 bug bounty for identifying a reentrancy vulnerability within the Curve Finance decentralized finance (DeFi) protocol. This flaw has been implicated in several high-profile crypto hacks, resulting in the illicit withdrawal of millions of dollars.

ニューヨーク州ニューヨーク - [日付] - Kupia Security という仮名で活動しているセキュリティ研究者のマルコ・クロック氏は、Curve Finance 分散型金融 (DeFi) プロトコル内のリエントランシーの脆弱性を特定したとして、25 万ドルのバグ報奨金を授与されました。この欠陥はいくつかの注目を集めた暗号ハッキングに関与しており、その結果、数百万ドルが不正に引き出しられました。

In a detailed analysis posted on the X thread, Croc laid bare the mechanics of the bug, demonstrating how it could be exploited to manipulate account balances and extract funds from liquidity pools. Curve Finance promptly acknowledged the existence of potential security flaws and deemed the vulnerability to be of utmost severity.

X スレッドに投稿された詳細な分析で、Croc 氏はバグのメカニズムを明らかにし、口座残高を操作し、流動性プールから資金を抽出するためにどのように悪用されるかを実証しました。 Curve Finance は、潜在的なセキュリティ上の欠陥の存在を直ちに認め、その脆弱性が最も深刻であると判断しました。

Following a thorough investigation, Curve Finance awarded Croc the maximum allowable bug bounty of $250,000. "Curve recognized the severity of the vulnerability and acted swiftly to address it," Croc remarked.

徹底した調査の結果、Curve Finance は Croc に許容される最大のバグ報奨金として 250,000 ドルを授与しました。 「Curve は脆弱性の深刻さを認識し、それに対処するために迅速に行動しました」と Croc 氏は述べました。

Despite the critical nature of the flaw, Curve Finance expressed confidence that its security infrastructure would have mitigated any potential losses. Nonetheless, the protocol emphasized the potentially severe consequences of a full-blown security breach.

欠陥の重大な性質にもかかわらず、Curve Finance は、自社のセキュリティ インフラストラクチャが潜在的な損失を軽減できるだろうと自信を表明しました。それにもかかわらず、この議定書は、本格的なセキュリティ侵害の潜在的に深刻な結果を強調しました。

"While we believe our system would have ultimately recovered the funds in case of a breach, any security incident has the potential to cause significant panic in the market," Curve Finance stated.

カーブ・ファイナンスは、「侵害が発生した場合、当社のシステムは最終的に資金を回収できたと信じているが、セキュリティインシデントは市場に重大なパニックを引き起こす可能性がある」と述べた。

This revelation comes on the heels of Curve Finance's recovery from a $62 million hack in July 2022. In response to the incident, the protocol implemented a reimbursement plan totaling $49.2 million in assets to liquidity providers (LPs).

この暴露は、2022年7月に起きた6,200万ドルのハッキングからカーブ・ファイナンスが回収した直後に発表された。事件を受けて、プロトコルは流動性プロバイダー（LP）への資産総額4,920万ドルの償還計画を実施した。

On-chain data reveals that 94% of tokenholders approved the disbursement of over $49.2 million to compensate for losses incurred by the Curve, JPEG'd (JPEG), Alchemix (ALCX), and Metronome (MET) pools. The Curve DAO (CRV) tokens were allocated from the community fund, and the final payout accounted for the tokens retrieved since the hack.

オンチェーンデータによると、トークン所有者の94%が、Curve、JPEG'd (JPEG)、Alchemix (ALCX)、Metronome (MET) の各プールで発生した損失を補うために、4,920万ドルを超える支払いを承認したことが明らかになりました。 Curve DAO (CRV) トークンはコミュニティ基金から割り当てられ、最終的な支払いにはハッキング以降に回収されたトークンが含まれていました。

"The overall ETH (ETH) to recover was calculated as 5919.2226 ETH, the CRV to recover was calculated as 34,733,171.51 CRV, and the total to distribute was calculated as 55'544'782.73 CRV," the proposal outlined.

「回収すべき全体のETH（ETH）は5919.2226 ETHとして計算され、回収すべきCRVは34,733,171.51 CRVとして計算され、分配される合計は55'544'782.73 CRVとして計算されました」と提案書は概要を説明しています。

The vulnerability exploited by the attacker stemmed from stable pools that utilized certain versions of the Vyper programming language. Versions 0.2.15, 0.2.16, and 0.3.0 were found to be susceptible to reentrancy attacks, a common tactic used in DeFi hacks.

攻撃者によって悪用された脆弱性は、Vyper プログラミング言語の特定のバージョンを利用する安定したプールに起因していました。バージョン 0.2.15、0.2.16、および 0.3.0 は、DeFi ハッキングで使用される一般的な戦術である再入攻撃の影響を受けやすいことが判明しました。

Croc's discovery underscores the ongoing challenges faced by the crypto industry in guarding against cyber threats. While protocols like Curve Finance invest heavily in security measures, vulnerabilities can still arise, putting user funds at risk.

クロック氏の発見は、サイバー脅威から身を守る上で暗号通貨業界が直面している継続的な課題を浮き彫りにしている。 Curve Finance のようなプロトコルはセキュリティ対策に多額の投資を行っていますが、依然として脆弱性が発生し、ユーザーの資金が危険にさらされる可能性があります。

The $250,000 bounty awarded to Croc serves as a testament to the importance of responsible disclosure and ethical hacking in safeguarding the crypto ecosystem. By uncovering and reporting critical flaws, researchers like Croc play a vital role in protecting the integrity of the industry and ensuring the safety of user assets.

Croc に授与された 25 万ドルの報奨金は、暗号通貨エコシステムを保護する上で責任ある情報開示と倫理的なハッキングの重要性を証明するものです。 Croc のような研究者は、重大な欠陥を発見して報告することで、業界の完全性を保護し、ユーザー資産の安全を確保する上で重要な役割を果たしています。