Відповідно до публікації члена керівного органу протоколу в соціальних мережах від 2 серпня протокол кредитування Curve Finance (CRV) скасував винагороду за токени управління для окремих пулів ліквідності, які постраждали від експлойту Curve 30 липня та Multichain від 6 липня.
Припинення винагород було здійснено надзвичайною децентралізованою автономною організацією Curve (Curve E-DAO), комітетом, що складається з обраних членів керівного органу Curve DAO. Відповідно до оголошення, це вплинуло на пули для alETH+ETH, msETH-ETH, pETH-ETH, crvCRVETH, Arbitrum Tricrypto та multibtc3CRV. Рішення може бути скасовано в майбутньому повним голосуванням Curve DAO.
Про зміну оголосив член Curve E-DAO Габріель Шапіро.
ATTENTION, FROM A CURVE E-DAO SIGNER:
The @CurveFinance emergency multisig has terminated CRV rewards (gauges) to the liquidity pools affected by recent exploits, including pools affected by the recent Vyper compiler exploit and the multiBTC pool affected by the recent…
— _gabrielShapir0 (@lex_node) August 2, 2023
6 липня з низки мостів, які були частиною протоколу Multichain, було виведено криптовалюту на суму понад 100 мільйонів доларів. Команда Multichain заявила, що виведення коштів було «ненормальним» і що користувачі повинні припинити використовувати Multichain. У той час команда Curve попереджала своїх користувачів «вийти з багатоланцюжкових активів, таких як multiBTC (включаючи пул)», маючи на увазі, що її власний пул ліквідності multibtc3CRV знаходиться під загрозою через інцидент Multichain.
14 липня команда Multichain заявила, що зняття коштів було спричинено невідомою особою, яка отримала доступ до облікового запису хмарних обчислень їхніх генеральних директорів, маючи на увазі, що кошти були використані та ніколи не можуть бути повернуті.
30 липня сама компанія Curve Finance стала жертвою повторної атаки. Через експлойт було втрачено криптовалюту на суму понад 47 мільйонів доларів. Атака вплинула на пули alETH, msETH і pETH, оскільки вони були створені за допомогою протоколу Vyper, який містив уразливість. Інші пули Curve, створені не через Vyper, не вплинули.
За темою: хакери зламали обліковий запис засновника Uniswap у Twitter, щоб просувати шахрайство
Незважаючи на ці експлойти, уражені пули все ще виробляли нагороди за токени керування CRV. Це означало, що користувачі могли вносити свої токени в пули, щоб отримати CRV. У повідомленні від 8 серпня Шапіро заявив, що екстрений DAO тепер видалив ці винагороди, щоб «уникнути стимулювання подальшої участі в цих скомпрометованих пулах».
У липні та серпні інвестори продовжували страждати від хакерів і шахрайства. Платіжний провайдер Alphapo нібито втратив понад 60 мільйонів доларів 23 липня через те, що зловмисник отримав доступ до закритих ключів його гарячого гаманця. Компанія не підтвердила ймовірну атаку, але мережеві детективи стверджували, що перекази є ненормальними та, ймовірно, результатом злому.25 липня zkSync також було використано на 3,4 мільйона доларів через помилку повторного входу лише для читання.
