セキュリティ研究者が Curve Finance Protocol の重大な脆弱性を発見、25 万ドルの報奨金を獲得

Kupia Security のセキュリティ研究者 Marco Croc 氏は、DeFi プロトコルである Curve Finance に重大なリエントランシーの脆弱性を発見し、数百万単位の盗難が可能になる可能性がありました。 Curve Finance はこの脆弱性を認め、Croc 氏の重要な意見に対して 25 万ドルの報奨金を授与しました。この事件は、DeFi 分野で進行中のセキュリティ脅威を浮き彫りにしました。

Security Researcher Nets $250,000 Bounty for Uncovering Critical Vulnerability in Curve Finance Protocol

Curve Finance Protocolの重大な脆弱性を発見したセキュリティ研究者に25万ドルの報奨金が贈られる

A dedicated security researcher has been handsomely rewarded for their astute discovery of a critical vulnerability in the Curve Finance decentralized finance (DeFi) protocol, a flaw that had previously enabled cybercriminals to pilfer millions from cryptocurrency ecosystems.

熱心なセキュリティ研究者が、Curve Finance 分散型金融 (DeFi) プロトコルの重大な脆弱性を洞察力をもって発見したことにより、多額の報奨金を受け取りました。この欠陥により、以前はサイバー犯罪者が暗号通貨エコシステムから数百万ドルを盗むことができました。

The vulnerability, meticulously analyzed and exposed by Marco Croc, a cybersecurity expert from Kupia Security, revolved around a reentrancy issue. This flaw could have been exploited to manipulate balances and siphon unauthorized funds from liquidity pools. Croc meticulously documented his findings in a series of posts on Medium, illuminating the potential risks and manipulations that could have been perpetrated due to the bug.

この脆弱性は、Kupia Security のサイバーセキュリティ専門家 Marco Croc によって綿密に分析され、暴露されましたが、再入可能の問題を中心に展開していました。この欠陥を利用して残高を操作し、流動性プールから不正な資金を吸い上げた可能性があります。 Croc 氏は、Medium への一連の投稿で発見内容を細心の注意を払って文書化し、バグによって実行された可能性のある潜在的なリスクと操作を明らかにしました。

Curve Finance responded swiftly to the disclosure, promptly launching a thorough investigation into the matter. Recognizing the significant threat posed by the vulnerability, the protocol awarded Croc the highest possible bounty of $250,000 for his invaluable contribution.

カーブ・ファイナンスはこの開示に迅速に対応し、直ちにこの問題について徹底的な調査を開始した。この脆弱性によってもたらされる重大な脅威を認識し、議定書はクロック氏の貴重な貢献に対して可能な限り最高額の 25 万ドルの報奨金を授与しました。

"Curve Finance recognized the severity of the vulnerability," Croc remarked, underscoring the importance of the protocol's swift and decisive action.

「カーブ・ファイナンスは脆弱性の深刻さを認識していた」とクロック氏は述べ、プロトコルの迅速かつ断固たる措置の重要性を強調した。

While the protocol initially assessed the vulnerability as "not as dangerous," expressing confidence in its ability to retrieve any potentially stolen funds, Curve Finance acknowledged that the occurrence of such a security incident could have triggered widespread panic within the community.

プロトコルは当初、この脆弱性を「それほど危険ではない」と評価し、盗まれた可能性のある資金を回収する能力に自信を示していたが、カーブ・ファイナンスは、このようなセキュリティインシデントの発生がコミュニティ内で広範なパニックを引き起こした可能性があることを認めた。

This acknowledgment resonates with Curve Finance's recent recovery from a massive $62 million hack in July. In an effort to mitigate the impact on their users, the protocol and its community implemented comprehensive compensation measures.

この謝意は、7月に発生した6,200万ドルの大規模ハッキングからカーブ・ファイナンスが最近回復したことと共鳴するものである。ユーザーへの影響を軽減するために、プロトコルとそのコミュニティは包括的な補償措置を導入しました。

Curve Finance resolved to reimburse $49.2 million worth of assets to affected liquidity providers (LPs). This decision was overwhelmingly endorsed by tokenholders, with an impressive 94% approving the disbursement to cover losses across multiple pools, including Curve, JPEG'd (JPEG), Alchemix (ALCX), and Metronome (MET).

カーブ・ファイナンスは、影響を受けた流動性プロバイダー（LP）に4,920万ドル相当の資産を払い戻すことを決議した。この決定はトークン保有者から圧倒的に支持され、Curve、JPEG'd (JPEG)、Alchemix (ALCX)、Metronome (MET) を含む複数のプールにわたる損失をカバーするための支出を 94% が承認しました。

The compensation proposal meticulously outlined the amounts to be recovered and redistributed: "The overall ETH to recover was calculated as 5919.2226 ETH, the CRV to recover was calculated as 34,733,171.51 CRV and the total to distribute was calculated as 55'544'782.73 CRV."

補償提案には、回収および再分配される金額が綿密に概説されています。「回収するETH全体は5919.2226 ETHとして計算され、回収するCRVは34,733,171.51 CRVとして計算され、分配される合計は55'544'782.73 CRVとして計算されました。」

The attacker had capitalized on a bug residing in specific versions of the Vyper programming language. Versions 0.2.15, 0.2.16, and 0.3.0 were thus rendered susceptible to reentrancy attacks. This incident starkly underscores the persistent threats lurking within the DeFi landscape, emphasizing the imperative for implementing rigorous security measures.

攻撃者は、Vyper プログラミング言語の特定のバージョンに存在するバグを利用していました。したがって、バージョン 0.2.15、0.2.16、および 0.3.0 は再入攻撃を受けやすくなりました。この事件は、DeFi環境に潜む永続的な脅威をはっきりと浮き彫りにし、厳格なセキュリティ対策を実装することが不可欠であることを強調しています。

Conclusion

結論

The discovery and successful remediation of this critical vulnerability serve as a testament to the indispensable role of security researchers in safeguarding the burgeoning DeFi ecosystem. Protocols and their communities must prioritize robust security practices and reward those who contribute to enhancing the integrity of the digital asset landscape. By working together, we can mitigate risks, restore trust, and pave the way for the continued growth and adoption of decentralized finance.

この重大な脆弱性の発見と修正の成功は、急成長する DeFi エコシステムを保護する上でセキュリティ研究者が不可欠な役割を果たしている証拠となります。プロトコルとそのコミュニティは、堅牢なセキュリティ慣行を優先し、デジタル資産環境の完全性の向上に貢献した人々に報いる必要があります。協力することで、リスクを軽減し、信頼を回復し、分散型金融の継続的な成長と導入への道を開くことができます。