Protokół zdecentralizowanego finansowania (DeFi) Curve, który niedawno padł ofiarą exploita na różnych pulach w wyniku błędu odkrytego w języku Vyper, oferuje nagrodę w wysokości 1,85 miliona dolarów za ujawnienie tożsamości atakującego. Ogłoszenie to pojawiło się po tym, jak atakujący zwrócił część skradzionych funduszy innym protokołom, w tym Alchemix i JPEG’d.
Curve stawia nagrodę za głowę atakującego
Zdecentralizowany protokół finansowy (DeFi) Curve, który niedawno padł ofiarą exploita wynikającego z luki zawartej w języku Vyper, ogłosił właśnie, że za tożsamość atakującego wyznaczono nagrodę w wysokości 1,85 miliona dolarów.
Jak informowaliśmy kilka dni temu, atakujący zwrócił Alchemix, wskazując, że nie był zainteresowany 10% nagrodą obiecaną przez protokół, ale raczej nie zrujnowaniem go. Od tego czasu zwrócił skradzione kryptowaluty do protokołu JPEG’d w całości.
Atakujący nie zwrócił jednak jeszcze środków Curve, który został pozbawiony 14 milionów dolarów z puli płynności CRV-ETH.
Funds hosted in attacker’s wallet
W rezultacie, zgodnie z wcześniejszymi zapowiedziami Curve, tożsamość hakera jest teraz zagrożona:
Termin dla exploita CRV/ETH mijahttps://t.co/VphQ0bfYr2 pic.twitter.com/x8LP9Tx4rs
– Curve Finance (@CurveFinance) August 6, 2023
Via wiadomość on-chain, Curve ostrzegł atakującego, że sprawa skończy się w sądzie, jeśli sam nie zwróci funduszy:
„Termin dobrowolnego zwrotu środków w ramach exploita Curve minął o 08:00 UTC. Rozszerzamy teraz bounty na opinię publiczną i oferujemy nagrodę o wartości 10% pozostałych wykorzystanych środków (obecnie 1,85 mln USD) osobie, która jest w stanie zidentyfikować exploita w sposób, który doprowadzi do skazania przez sądy.”
Ważny protokół DeFi poważnie ranny
30 lipca kilka pul Curve zostało zaatakowanych po odkryciu luki 0-day w kilku starszych wersjach Vypera, powodując chaos w świecie zdecentralizowanych finansów. Rzeczywiście, Curve jest absolutnie głównym graczem w DeFi, a taki atak nie jest bez konsekwencji, chociaż szkody zostały na szczęście złagodzone.
Główne zagrożenie dotyczyło pozycji zajmowanych przez Michaela Egorova, dyrektora generalnego Curve, w różnych protokołach. W szczególności pozycja o wartości ponad 100 milionów dolarów w Aave V2, która groziła likwidacją, jeśli cena CRV spadnie poniżej 0,39 USD.
Na szczęście Michael Egorov był w stanie sprzedawać tokeny CRV bez recepty, aby zapewnić płynność swoim różnym pożyczkom i utrzymać je na powierzchni. Ponieważ CRV oscyluje obecnie wokół 0,6 USD, możemy uznać te pozycje za zdrowe. Na przykład, największa pozycja Aave ma w chwili pisania tego tekstu wskaźnik kondycji wynoszący 2,18.
Całkowita zablokowana wartość Curve (TVL) również została dotknięta atakiem, chociaż od tego czasu nieco się poprawiła:
TVL on Curve protocol
Według najnowszych danych, 73% skradzionych środków (52,3 miliona dolarów) zostało zwróconych. Dopiero okaże się, czy atakujący zdecyduje się zwrócić pozostałe środki, aby odebrać nagrodę i uniknąć ścigania, czy też zdecyduje się milczeć.
