Il protocollo di finanza decentralizzata Curve (DeFi), recentemente vittima di un exploit su vari pool a causa di una falla scoperta nel linguaggio Vyper, offre una taglia di 1,85 milioni di dollari a chi rivelerà l’identità dell’aggressore. Questo annuncio arriva dopo che l’attaccante ha restituito alcuni dei fondi rubati ad altri protocolli, tra cui Alchemix e JPEG’d.
Curve mette una taglia sulla testa dell’aggressore
Il protocollo di finanza decentralizzata (DeFi) Curve, che ha recentemente subito un exploit a causa di una falla contenuta nel linguaggio Vyper, ha appena annunciato che è stata posta una taglia di 1,85 milioni di dollari sull’identità dell’attaccante.
Come abbiamo riportato qualche giorno fa, l’attaccante ha rimborsato Alchemix, indicando che non era interessato alla ricompensa del 10% promessa dal protocollo, ma piuttosto a non rovinarlo. Da allora ha restituito interamente le criptovalute rubate al protocollo JPEG’d.
Tuttavia, l’aggressore non ha ancora restituito i fondi a Curve, a cui sono stati sottratti 14 milioni di dollari dal pool di liquidità CRV-ETH.
Fondi ospitati nel portafoglio dell’attaccante
Come risultato, e come Curve aveva precedentemente annunciato, l’identità dell’hacker è ora in pericolo:
La scadenza per l’exploit CRV/ETH passahttps://t.co/VphQ0bfYr2 pic.twitter.com/x8LP9Tx4rs
– Curve Finance (@CurveFinance) 6 agosto 2023
Tramite un messaggio sulla catena, Curve ha avvertito l’aggressore che il caso finirà in tribunale se non restituirà lui stesso i fondi:
“La scadenza per la restituzione volontaria dei fondi nell’exploit di Curve è passata alle 08:00 UTC. Ora estendiamo la taglia al pubblico e offriamo una ricompensa pari al 10% dei fondi sfruttati rimanenti (attualmente 1,85 milioni di dollari) a chi è in grado di identificare l’autore dell’exploit in modo tale da portare a una condanna da parte dei tribunali. “
Un importante protocollo DeFi gravemente ferito
Il 30 luglio, diversi pool Curve sono stati attaccati in seguito alla scoperta di una vulnerabilità 0-day in alcune vecchie versioni di Vyper, causando il caos nel mondo della finanza decentralizzata. Curve è infatti un attore di assoluto rilievo nella DeFi e un attacco di questo tipo non è privo di conseguenze, anche se i danni sono stati fortunatamente mitigati.
Il pericolo principale riguardava le posizioni detenute da Michael Egorov, amministratore delegato di Curve, in vari protocolli. In particolare, una posizione di oltre 100 milioni di dollari in Aave V2, che minacciava di essere liquidata se il prezzo di CRV fosse sceso sotto 0,39 dollari.
Fortunatamente, Michael Egorov è stato in grado di vendere token CRV al banco per fornire liquidità ai suoi vari prestiti e tenerli a galla. Con il CRV che ora si aggira intorno a 0,6 dollari, possiamo considerare queste posizioni come sane. Ad esempio, la posizione più grande di Aave ha un tasso di salute di 2,18 al momento della scrittura.
Anche il Total Locked Value (TVL) di Curve è stato colpito dall’attacco, anche se nel frattempo si è leggermente ripreso :
TVL sul protocollo Curve
Secondo gli ultimi dati, il 73% dei fondi rubati (52,3 milioni di dollari) è stato restituito. Resta da vedere se l’aggressore deciderà di restituire i fondi rimanenti per riscuotere la sua taglia ed evitare di essere perseguito, o se deciderà di rimanere in silenzio.
