Этический хакер получил 5,4 миллиона долларов для Curve Finance с помощью эксплойта.

Хакеру в белой шляпе удалось забрать около 2879 эфиров (ETH) на сумму около 5,4 миллиона долларов у эксплуататора и вернуть их протоколу децентрализованных финансов (DeFi) Curve Finance во время недавнего взлома.

30 июля несколько стабильных пулов на Curve Finance были взломаны из-за неисправных блокировок повторного входа в нескольких версиях языка программирования Vyper. Убытки Curve Finance оцениваются примерно в 47 миллионов долларов. Тем не менее, протоколы DeFi, которые использовали уязвимые версии Vyper, также были взломаны, что подвергло экосистему DeFi стресс-тесту.

https://twitter.com/PeckShieldAlert/status/1685804409610203136?ref_src=twsrc%5Etfw

В тот же день этичный хакер конфисковал часть украденных активов и вернул их Curve Finance. Оператор бота MEV с именем пользователя «c0ffeebabe.eth» использовал передового бота против хакера-злоумышленника, чтобы получить почти 3000 ETH. Затем средства были возвращены на адрес развертывателя Curve, который, похоже, является их законным хранителем.

На фоне хаоса аккаунты в Твиттере, выдающие себя за Curve Finance, и жертвы взлома продвигают фальшивую схему возврата средств, нацеленную на тех, кто уже потерял свои средства в результате недавнего взлома. Официальный аккаунт Curve Finance на момент написания статьи не публиковал никаких планов по возврату средств.

Между тем, BNB Smart Chain подверглась подражательным атакам из-за уязвимости Vyper. Согласно данным, предоставленным фирмой по безопасности Blockchain BlockSec, около 73 000 долларов было украдено в результате трех эксплойтов.

Связанный: Ethereum регистрирует вознаграждение за блок MEV в размере 1 миллиона долларов на фоне эксплойта Curve Finance

Тем временем Комиссия по ценным бумагам и биржам США (SEC) приняла новые правила для инцидентов кибербезопасности с участием публичных компаний в США. Правило требует, чтобы эти компании раскрывали кибератаку через четыре дня после того, как она была признана «существенной». Согласно SEC, правило также потребует периодической отчетности о политиках для выявления и управления рисками кибербезопасности.