Curve Finance, децентралізована фінансова платформа (DeFi) для кредитування стейблкоїнів, офіційно заявила про свій намір відшкодувати користувачам, які постраждали від нещодавнього злому, що призвело до збитків системи на 62 мільйони доларів.
Згідно з дописом Curve Finance, розслідування, що тривають, дають прогрес: приблизно 79% коштів успішно повернуто. Платформа також підкреслює свій поточний пріоритет, який обертається навколо оцінки пропорційних часток кожного постраждалого користувача.
Ця оцінка має на меті забезпечити справедливий розподіл ресурсів. Інцидент, який стався 30 липня, був залучений зловмисниками, які використовували вразливості в історії випусків компілятора Vyper від Curve Finance.
Quick post-hack update.
While 70% of funds affected by the hack last week are recovered, active investigation with regards to the rest is underway.
In the meantime, we are also working on measuring the respective shares of each affected user with the goal of proper distribution
— Curve Finance (@CurveFinance) August 11, 2023
Особа, яка стоїть за зломом, звернула увагу саме на версії компілятора Vyper від 0.2.15 до 0.3.0. Очевидно, хакер продемонстрував розуміння точних недоліків в історичних ітераціях Vyper. Ідентифікація цих вразливостей вимагала б значного рівня навичок і значних ресурсів, як підкреслили експерти в цій галузі.
Примітно, що є припущення, що починання було ретельно сплановано до його введення в дію. Співавтор Vyper рішуче переконаний у тому, що для розробки схеми знадобилося хакерам кілька тижнів, якщо не місяців. Серед пулів, які зазнали розгалужень, є CRV/ETH, alETH/ETH, msETH/ETH і pETH/ETH. Крім того, зростає занепокоєння, що трикриптовалютний пул на Arbitrum також міг зазнати такого впливу.
За темою: Aave DAO відкриває голосування щодо пропозицій щодо зменшення впливу CRV
На жаль, напад відбилося по всьому ландшафту DeFi. Комплексне дослідження злому підкреслило важливу проблему в секторі криптовалюти, що починає розвиватися;відсутність належних стимулів для виявлення вразливостей у попередніх ітераціях програмного забезпечення.
Особі, відповідальній за порушення, було надано винагороду у розмірі 10%, і після прийняття пропозиції зловмисник ініціював процедуру відновлення коштів через кілька днів. Цей курс дій був підтверджений даними Etherscan, які підтвердили, що особа, яка стоїть за атакою, здійснила три різні транзакції на гаманець розробника Alchemix Finance. Загальна вартість цих переказів склала 4 821 Ethereum (ETH), що еквівалентно 8 891 578 доларів США на той момент. Наразі процес реституції залишається незавершеним.
