Хакер, ответственный за компрометацию протокола Curve DeFi, начал переводить похищенные средства программистам. В результате атаки 30 июля пострадали также компании Alchemix и Metronome, а общий ущерб составил более 52 млн. долл. Однако 4 августа злоумышленник вернул в Alchemix 3820alETH стоимостью 6,7 млн долл. Эта новость положительно повлияла на нативный токен CRV, цена которого выросла на 6% и составила 0,621 долл.
Представители компаний Curve, Alchemix и Metronome попросили хакера прекратить зондирование в обмен на 10% от суммы в качестве вознаграждения.
Вероятно, он согласился с правилами и нормами, а Curve Wallet в ответ передал пустую транзакцию в качестве запроса, чтобы он подтвердил правильность всех символов в своем адресе. «Перепроверьте, чтобы убедиться в отсутствии ошибок»,— говорится в сообщении.
Примечательно, что на адрес злоумышленника стали приходить транзакции с просьбой поделиться средствами после того, как он вышел на связь с Curve. Один из пользователей криптовалюты обосновал свою просьбу тем, что его крупная сумма токенов CRV была ликвидирована из-за нарушения безопасности.
Лицо, совершившее атаку на децентрализованный протокол Curve Finance, приступило к восстановлению похищенных средств. Хакер отправил 4821 Ethereum (ETH) несколькими переводами на адрес Alchemix Finance, а затем перевел 5494,4 WETH на мультисиговый кошелек JPEG, принадлежащий DAO. Перед отправкой средств они отправили Alchemix сообщение на ончейн с просьбой подтвердить его адрес. Они также отметили, что решили вернуть взятые деньги, так как «не хотели наносить ущерб проектам».
31 июля Curve Finance столкнулся с крупным взломом, который прошел в два этапа. Первоначально хакеры украли около $26 млн из-за уязвимости повторного входа в пулах. Затем последовал второй этап атаки, в ходе которого злоумышленники вывели 7,1 млн CRV стоимостью $4,4 млн и 7680 WETH стоимостью $14,37 млн из пула CRV-ETH.
Устаревшая версия языка программирования Vyper, спровоцировавшая инцидент, привела к резкому падению общей стоимости заблокированных активов (Total Value Locked, TVL) с 3,26 млрд. долл. до 1,72 млрд. долл. (почти на 46%) в течение 24 часов. Взлом затронул несколько deFi проектов на Curve, таких как JPEG’d, MetronomeDAO, deBridge и Ellipsis, причем больше всего пострадал пул AlETH-ETH Alchemix — он потерял 13,6 млн. долл. 3 августа пострадавшие проекты предложили хакеру 10%-ное вознаграждение в обмен на похищенные активы.