Согласно сообщению члена руководящего органа протокола от 2 августа, протокол кредитования Curve Finance (CRV) прекратил выдачу токенов управления для отдельных пулов ликвидности, затронутых эксплойтом Curve от 30 июля и эксплойтом Multichain от 6 июля.
Прекращение вознаграждения осуществлялось аварийной децентрализованной автономной организацией Curve (Curve E-DAO), комитетом, состоящим из избранных членов руководящего органа Curve DAO. Согласно объявлению, это затронуло пулы для alETH+ETH, msETH-ETH, pETH-ETH, crvCRVETH, Arbitrum Tricrypto и multibtc3CRV. Решение может быть отменено в будущем полным голосованием Curve DAO.
Об изменении объявил участник Curve E-DAO Габриэль Шапиро.
ATTENTION, FROM A CURVE E-DAO SIGNER:
The @CurveFinance emergency multisig has terminated CRV rewards (gauges) to the liquidity pools affected by recent exploits, including pools affected by the recent Vyper compiler exploit and the multiBTC pool affected by the recent…
— _gabrielShapir0 (@lex_node) August 2, 2023
6 июля криптовалюта на сумму более 100 миллионов долларов была снята с ряда мостов, которые были частью протокола Multichain. Команда Multichain заявила, что снятие средств было «ненормальным» и что пользователи должны прекратить использовать Multichain. В то время команда Curve предупредила своих пользователей, чтобы они «выходили из мультичейн-активов, таких как multiBTC (включая пул)», подразумевая, что их собственный пул ликвидности multibtc3CRV подвергается риску из-за инцидента с Multichain.
14 июля команда Multichain заявила, что снятие средств было вызвано неизвестным лицом, получившим доступ к учетной записи облачных вычислений их генерального директора, подразумевая, что средства были использованы и никогда не могут быть возвращены.
30 июля сама Curve Finance стала жертвой повторной атаки. В ходе эксплойта было потеряно криптовалюты на сумму более 47 миллионов долларов. Атака затронула пулы alETH, msETH и pETH, поскольку они были созданы с использованием протокола Vyper, содержащего уязвимость. Другие пулы Curve, созданные не через Vyper, не пострадали.
Связанный: Хакеры взломали учетную запись основателя Uniswap в Твиттере для продвижения мошенничества
Несмотря на эти эксплойты, затронутые пулы по-прежнему приносили вознаграждение в виде токенов управления CRV. Это означало, что пользователи по-прежнему могли вносить свои токены в пулы, чтобы заработать CRV. В объявлении от 8 августа Шапиро заявил, что аварийный DAO теперь удалил эти вознаграждения, чтобы «избежать стимулирования дальнейшего участия в этих скомпрометированных пулах».
В июле и августе инвесторы продолжали страдать от взломов и мошенничества. Платежный провайдер Alphapo якобы потерял более 60 миллионов долларов 23 июля из-за того, что злоумышленник получил доступ к закрытым ключам его горячего кошелька. Компания не подтвердила предполагаемую атаку, но сыщики в сети утверждают, что переводы являются ненормальными и, вероятно, являются результатом взлома.25 июля zkSync также был взломан за 3,4 миллиона долларов из-за ошибки повторного входа только для чтения.