Het gedecentraliseerde financiële (DeFi) protocol Curve, dat onlangs het slachtoffer werd van een exploit op verschillende pools na een fout ontdekt in de Vyper-taal, biedt een premie van $1,85 miljoen aan om de identiteit van de aanvaller te onthullen. Deze aankondiging komt nadat de aanvaller een deel van het gestolen geld heeft teruggegeven aan andere protocollen, waaronder Alchemix en JPEG’d.
Curve zet premie op hoofd aanvaller
Het gedecentraliseerde financiële protocol (DeFi) Curve, dat onlangs werd getroffen door een exploit als gevolg van een fout in de Vyper-taal, heeft zojuist aangekondigd dat er nu een bounty van $1,85 miljoen is geplaatst op de identiteit van de aanvaller.
Zoals we een paar dagen geleden al meldden, heeft de aanvaller Alchemix terugbetaald. Hij gaf aan dat hij niet geïnteresseerd was in de 10% beloning die het protocol beloofde, maar wel in het niet verpesten ervan. Hij heeft sindsdien de gestolen cryptocurrencies volledig teruggegeven aan het JPEG’d protocol.
De aanvaller heeft het geld echter nog niet teruggegeven aan Curve, dat $14 miljoen uit de CRV-ETH liquiditeitspool werd overgeheveld.
Fondsen gehost in portemonnee van aanvaller
Als gevolg hiervan, en zoals Curve al eerder had aangekondigd, staat de identiteit van de hacker nu op het spel:
De deadline voor de CRV/ETH-exploit gaat voorbijhttps://t.co/VphQ0bfYr2 pic.twitter.com/x8LP9Tx4rs
– Curve Finance (@CurveFinance) 6 augustus 2023
Via een on-chain bericht heeft Curve de aanvaller gewaarschuwd dat de zaak voor de rechter zal komen als hij het geld niet zelf terugstort:
“De deadline voor het vrijwillig teruggeven van fondsen in de Curve-exploit is om 08:00 UTC verstreken. We breiden nu de bounty uit naar het publiek en bieden een beloning ter waarde van 10% van de resterende geëxploiteerde fondsen (momenteel US$1,85 miljoen) aan de persoon die in staat is om de exploitant te identificeren op een manier die zal leiden tot een veroordeling door de rechtbank.”
Een belangrijk DeFi-protocol zwaargewond
Op 30 juli werden verschillende Curve-pools aangevallen na de ontdekking van een 0-day kwetsbaarheid in verschillende oudere versies van Vyper, wat chaos veroorzaakte in de wereld van gedecentraliseerde financiën. Curve is inderdaad een absoluut belangrijke speler in DeFi, en zo’n aanval is niet zonder gevolgen, hoewel de schade gelukkig beperkt bleef.
Het grootste gevaar betrof de posities die Michael Egorov, de CEO van Curve, innam in verschillende protocollen. In het bijzonder een positie van meer dan $100 miljoen in Aave V2, die dreigde te worden geliquideerd als de CRV prijs onder de $0,39 zou zakken.
Gelukkig was Michael Egorov in staat om CRV tokens over de toonbank te verkopen om zijn verschillende leningen van liquiditeit te voorzien en ze overeind te houden. Nu de CRV rond de $0,6 schommelt, kunnen we deze posities als gezond beschouwen. Aave’s grootste positie heeft op het moment van schrijven bijvoorbeeld een health rate van 2,18.
De Total Locked Value (TVL) van Curve werd ook getroffen door de aanval, hoewel deze sindsdien licht is hersteld :
TVL op Curve-protocol
Volgens de laatste gegevens is 73% van het gestolen geld ($52,3 miljoen) teruggegeven. Het valt nog te bezien of de aanvaller zal besluiten het resterende geld terug te geven om zijn premie te innen en vervolging te voorkomen, of dat hij zal besluiten te zwijgen.
