Компания Curio, занимающаяся ликвидностью реальных активов (RWA), подверглась эксплойту смарт-контракта, включающему критическую уязвимость, связанную с правом голоса, что позволило злоумышленнику украсть цифровые активы на сумму 16 миллионов долларов.
Curio предупредил свое сообщество об уязвимости и подчеркнул, что они решают ситуацию. Компания заявила, что смарт-контракт на основе MakerDAO, используемый в Curio, был взломан.
Однако компания заверила своих пользователей, что эксплойт затронул только сторону Ethereum и что все контракты Polkadot и Curio Chain остаются в безопасности.
Фирма Cyvers, занимающаяся безопасностью Web3, подсчитала, что убытки от эксплойта составляют около 16 миллионов долларов. Охранная фирма заявила, что эксплойт связан с «уязвимостью логики доступа к разрешениям».
25 марта Curio опубликовал вскрытие эксплойта и план компенсации пострадавшим пользователям. В отчете Курио подчеркнул, что проблема заключалась в недостатке контроля доступа к праву голоса.
Благодаря этому злоумышленник приобрел небольшое количество токенов Curio Governance (CGT), что позволило ему получить доступ и повысить свое право голоса в смарт-контракте проекта.
Обладая повышенным правом голоса, злоумышленник выполнил ряд шагов, которые в конечном итоге позволили выполнить произвольные действия в рамках контракта Curio DAO. Это привело к несанкционированной чеканке 1 миллиарда CGT.
В отчете Курио говорится, что все средства, пострадавшие от эксплойта, будут возвращены. Команда заявила, что выпустит новый токен под названием CGT 2.0. С помощью нового токена команда пообещала восстановить 100% средств держателей CGT.
Связанный: Хакер перевел 10 миллионов долларов от фишингового инцидента 2023 года в Tornado Cash
Что касается поставщиков ликвидности, Curio заявила, что проведет программу компенсации фондов. Команда заявила, что выплата будет осуществляться в четыре этапа, каждый из которых продлится 90 дней. Это может означать, что полная оплата потенциально может занять один год. Они написали:
«Компенсационная программа будет состоять из 4 последовательных этапов, каждый продолжительностью 90 дней. На каждом этапе: компенсация будет выплачиваться в USDC/USDT в размере 25% от убытков, понесенных вторым токеном в пулах ликвидности».
Компания также заявила, что вознаградит хакеров, которые могут помочь в восстановлении потерянных средств. Команда заявила, что хакеры могут получить вознаграждение, эквивалентное 10% средств, восстановленных на начальном этапе восстановления.
