Curve Finance, децентрализованная финансовая (DeFi) платформа для кредитования стейблкоинов, официально заявила о своем намерении возместить ущерб пользователям, пострадавшим от недавней утечки, в результате которой система понесла убытки в размере 62 миллионов долларов.
Согласно сообщению Curve Finance, текущие расследования приносят результаты, и около 79% средств были успешно возвращены. Платформа дополнительно подчеркивает свой текущий приоритет, который вращается вокруг оценки пропорциональных долей каждого пострадавшего пользователя.
Эта оценка направлена на обеспечение справедливого распределения ресурсов. Инцидент, произошедший 30 июля, был связан с использованием злоумышленниками уязвимостей в истории релизов компилятора Vyper компании Curve Finance.
Краткое обновление после взлома. Хотя 70% средств, пострадавших от взлома на прошлой неделе, были восстановлены, в отношении остальных средств ведется активное расследование. Тем временем мы также работаем над измерением соответствующих долей каждого пострадавшего пользователя с целью их правильного распределения.
— Curve Finance (@CurveFinance) 11 августа 2023 г.
Человек, стоящий за взломом, обратил свое внимание конкретно на версии 0.2.15–0.3.0 компилятора Vyper. Очевидно, хакер продемонстрировал понимание точных слабостей в исторических итерациях Vyper. Выявление этих уязвимостей потребовало бы значительной степени мастерства и существенных ресурсов, как подчеркивают эксперты в этой области.
Примечательно, что есть предположения, что это начинание было тщательно спланировано до его принятия. Один из участников Vyper полон решимости в том, что схема, вероятно, потребовала от хакеров нескольких недель, если не месяцев, чтобы сформулировать ее. Среди пулов, которые испытали последствия, — CRV/ETH, alETH/ETH, msETH/ETH и pETH/ETH. Кроме того, растет беспокойство, что пул tri-crypto на Arbitrum также мог подвергнуться этому воздействию.
К сожалению, атака отразилась на всем ландшафте DeFi. Всестороннее исследование нарушения выявило заметную проблему в начинающемся секторе криптовалют: отсутствие надлежащих стимулов для выявления уязвимостей в предыдущих итерациях программного обеспечения.
Лицу, ответственному за нарушение, было предоставлено вознаграждение в размере 10%, и после принятия предложения преступник через несколько дней инициировал процедуру восстановления средств. Этот курс действий был подтвержден данными Etherscan, которые подтвердили, что лицо, стоящее за атакой, провело три отдельных транзакции на кошелек разработчика Alchemix Finance. Совокупная стоимость этих переводов составила 4821 Ethereum (ETH), что эквивалентно 8 891 578 долларам США на тот момент. На данный момент процесс восстановления остается незавершенным.
Журнал: Стоит ли криптопроектам вести переговоры с хакерами? Вероятно