Das dezentrale Finanzprotokoll (DeFi) Curve, das kürzlich aufgrund einer in der Programmiersprache Vyper entdeckten Schwachstelle Opfer eines Exploits auf verschiedenen Pools wurde, bietet eine Prämie von 1,85 Millionen US-Dollar für die Enthüllung der Identität des Angreifers. Diese Ankündigung kommt, nachdem dieser einen Teil des gestohlenen Geldes an andere Protokolle, darunter Alchemix und JPEG’d, zurückgegeben hat.
Curve setzt Kopfgeld auf Angreifer aus
Das dezentrale Finanzprotokoll (DeFi) Curve, das kürzlich durch eine in der Sprache Vyper enthaltene Schwachstelle ausgenutzt wurde, hat nun bekannt gegeben, dass auf die Identität seines Angreifers nun ein Kopfgeld von 1,85 Millionen Dollar ausgesetzt ist.
Wie wir vor einigen Tagen berichteten, zahlte der Angreifer Alchemix das Geld zurück und gab an, dass er nicht an den 10 % Belohnungen interessiert sei, die das Protokoll versprochen hatte, sondern vielmehr daran, Alchemix nicht zu ruinieren. Seitdem hat er die gestohlenen Kryptowährungen vollständig an das JPEG’d-Protokoll zurückgegeben.
Allerdings hat der Angreifer die Gelder bis heute nicht an Curve zurückgegeben, dem 14 Millionen US-Dollar aus dem CRV-ETH Cash Pool abgezogen wurden.
Gelder in der Brieftasche des Angreifers gehostet
Daher wird nun, wie Curve zuvor angekündigt hatte, ein Preis auf die Identität des Hackers ausgesetzt:
The deadline for the CRV/ETH exploiter passeshttps://t.co/VphQ0bfYr2 pic.twitter.com/x8LP9Tx4rs
– Curve Finance (@CurveFinance) August 6, 2023
Über eine On-Chain-Nachricht warnte Curve den Angreifer, dass die Angelegenheit vor Gericht enden wird, wenn er das Geld nicht von sich aus zurückgibt :
“ Die Frist für die freiwillige Rückgabe von Geldern im Rahmen des Curve-Exploits wurde um 08:00 UTC überschritten. Wir erweitern nun die Prämie auf die Öffentlichkeit und bieten eine Belohnung im Wert von 10 % der verbleibenden ausgebeuteten Gelder (derzeit 1,85 Millionen US-Dollar) für die Person, die in der Lage ist, den Ausbeuter auf eine Weise zu identifizieren, die zu einer Verurteilung durch die Gerichte führt. „
Ein wichtiges DeFi-Protokoll schwer verletzt
Am 30. Juli wurden mehrere Curve-Pools angegriffen, nachdem eine 0-Day-Schwachstelle in mehreren älteren Versionen von Vyper entdeckt worden war, was zu Chaos in der dezentralen Finanzwelt führte. Tatsächlich ist Curve ein absolut wichtiger Akteur der DeFi, und ein solcher Angriff bleibt nicht ohne Folgen, auch wenn der Schaden glücklicherweise nur gering war.
Die größte Gefahr bestand in den Positionen, die Michael Egorov, der CEO von Curve, in verschiedenen Protokollen hielt. Insbesondere eine Position von über 100 Millionen US-Dollar auf Aave V2, die drohte, aufgelöst zu werden, wenn der Kurs von CRV unter 0,39 US-Dollar fallen würde.
Glücklicherweise konnte Michael Egorov CRV-Token über OTC verkaufen, um Liquidität in seine verschiedenen Kredite zu bringen und sie so über Wasser zu halten. Da der CRV nun bei 0,6 USD liegt, können wir diese Positionen als gesund betrachten. Die größte Position, Aave, weist zum Beispiel eine Health Rate von 2,18 auf, als diese Zeilen geschrieben wurden.
Der Gesamtwert (TVL) von Curve war ebenfalls von dem Angriff betroffen, obwohl er sich seither wieder leicht erholt hat:
TVL auf dem Curve-Protokoll
Nach den neuesten Daten wurden 73 % der gestohlenen Gelder (52,3 Millionen US-Dollar) zurückgegeben. Es bleibt abzuwarten, ob der Angreifer sich dazu entschließen wird, die restlichen Gelder zurückzugeben, um sein Kopfgeld zu kassieren und einer Strafverfolgung zu entgehen, oder ob er sich für die Karte des Schweigens entscheidet.
