Платформи децентралізованого фінансування (DeFi) Curve, Metronome та Alchemix спільно оголосили про ініціативу щодо повернення вкрадених коштів у результаті нещодавніх експлойтів у пулах Curve.
Згідно з даними в ланцюжку, протоколи пропонують винагороду в розмірі 10% від вкрадених коштів, закликаючи тих, хто відповідальний за експлойт, виступити вперед і повернути решту 90%. Експлойт 30 липня призвів до крадіжки приблизно 70 мільйонів доларів у криптовалютах, що призвело б до нагороди близько 7 мільйонів доларів.
Dear hacker, you've got an incoming messagehttps://t.co/ZKJjrO65PX
— Curve Finance (@CurveFinance) August 3, 2023
Пропозиція супроводжується гарантією відсутності подальших судових дій чи залучення правоохоронних органів. «Ми хочемо вирішити це цивілізованим способом», — йдеться в повідомленні, включеному в транзакцію.
«У вас не буде жодного ризику, що ми будемо займатися цим далі, жодного ризику проблем із правоохоронними органами», — йдеться у спільній заяві протоколів, додаючи:
«Якщо ви вирішите не брати участь у добровільному поверненні та завершите процес до 6 серпня о 08:00 UTC, ми розширимо винагороду для громадськості та запропонуємо всі 10% особі, яка зможе вас ідентифікувати таким чином, щобпризведе до вашого засудження в судах. Ми будемо переслідувати вас з усіх боків за всією суворістю закону».
Трійця забезпечила прямий канал для спілкування через curvenegotiation@protonmail.com і закликала відповідальні сторони негайно відреагувати. У ньому також наголошується, що будь-яка особа, яка звертається до переговорів, повинна підтвердити своє право власності на адресу електронної пошти в мережі.
Атака сталася через критичну вразливість у версіях мови програмування Vyper. Декілька пулів, які використовують Vyper 0.2.15, 0.2.16 і 0.3.0, зазнали несправного блокування повторного входу, що вплинуло на чотири пули ліквідності на Curve Finance.
Інцидент із безпекою викликав нове відчуття невизначеності серед криптовалютної спільноти, викликавши занепокоєння щодо можливого ефекту доміно в екосистемі DeFi. Рідний стейблкойн Curve Finance, crvUSD, ненадовго припинив прив’язку 3 серпня, реагуючи на туманні обставини навколо протоколу після експлойту.
