Взгляд на финансовые тенденции ключевых групп интересов в «Инциденте кривой»

30 июля пул стейблкоинов Curve alETH/msETH/pETH подвергся атаке из-за уязвимости функциональной рекурсивной блокировки в некоторых версиях Vyper (0.2.15, 0.2.16 и 0.3.0). Пострадавшие от атаки на некоторые пулы стейблкоинов Curve Alchemix, JPEG'd, Metronome, deBridge и Ellipsis в настоящее время понесли совокупный убыток примерно в 70 миллионов долларов США:

• Alchemix: 7259 ETH и 4821 alETH (около 22 миллионов долларов США);

• JPEG: 6106 ETH (около 11,4 миллиона долларов США);

• Метроном: 866,554 ETH (около 1,6 миллиона долларов США), 955 smETH (около 1,7 миллиона долларов США);

• Пул CRV-ETH: 10 500 ETH (приблизительно 19,4 миллиона долларов США), 7,19 миллиона CRV (приблизительно 4,4 миллиона долларов США).

В результате атаки цена CRV упала, а кредит основателя оказался перед риском ликвидации

В результате атаки 31 июля общий объем блокировки Curve Finance (TVL) упал с 3,266 млрд долларов США 30 июля до 1,869 млрд долларов США, что означает снижение за 24 часа на 42,78%, а цена CRV упала на 14,89%. 24 часа. .

Падение цены CRV вынудило основателя Curve Михаила Егорова заимствовать $70 млн на Aave перед риском ликвидации. Ввиду этого Егоров продал CRV через внебиржевой рынок в обмен на средства для погашения кредита.

С момента начала внебиржевых продаж 1 августа по состоянию на 6 августа Егоров продал в общей сложности 142,65 миллиона CRV 30 инвесторам/учреждениям в обмен на 57,06 миллиона долларов США в виде фондов.

По состоянию на 6 августа Егоров все еще заложил 269,8 миллиона CRV (приблизительно 166 миллионов долларов США) на четырех платформах с размером долга примерно 48,7 миллиона долларов США.

Злоумышленник возвращает средства

30 июля эксплуататор уязвимостей Coffeebabe.eth вернул 786 ETH (1,45 миллиона долларов США) и 955 smETH (1,74 миллиона долларов США) компании Metronome и 2879 ETH (5,36 миллиона долларов США) компании Curve Finance;

3 августа фонд Curve Foundation отправил эксплуататору уязвимости on-chain сообщение. Если злоумышленник вернет оставшиеся 90% до 8:00 (UTC) 6 августа, он получит 10% украденных средств в качестве награды. ;

4 августа злоумышленник 0x6ec вернул 5495 ETH (10 миллионов долларов США) в JPEG и сохранил за собой 610 ETH (1,1 миллиона долларов США) в качестве вознаграждения в размере 10%; злоумышленник 0xdce вернул 2258 ETH (415 миллионов долларов США) и 4820 alETH (8,82 миллиона долларов США);

5 августа 0xdce вернул AlchemixFi 4999 ETH (9,18 миллиона долларов США), и все они были возвращены;

На 6 августа 32% украденных активов (около $18,7 млн) так и не были возвращены:

• 80 ETH (14 700 долларов США) от MetronomeDAO (хранитель — Coffeebabe.eth);

• 7 681 ETH (14,4 миллиона долларов США) и 7,19 миллиона CRV (4,43 миллиона долларов США) из пула CRV-ETH.

На момент публикации из 59,5 миллионов долларов, украденных с помощью эксплойта Curve Finance Vyper, около 40,3 миллиона долларов были возвращены, 560 000 долларов были использованы в качестве вознаграждения хакерам и примерно 18,7 миллиона долларов еще не возвращены эксплойтером CRV/ETH ( 0xb752...b324).

7 августа компания Curve Finance написала в Твиттере, что срок добровольного возврата средств злоумышленниками, использующими уязвимости CRV/ETH, истек, и вознаграждение будет предоставлено любому, кто предоставит информацию, которая приведет к аресту и осуждению хакера (на данный момент $1,85 млн).