Фірма Curio, яка займається ліквідністю реальних активів (RWA), зазнала експлойту смарт-контракту, пов’язаного з критичною вразливістю, пов’язаною з привілеями голосування, що дозволило зловмиснику вкрасти цифрові активи на суму 16 мільйонів доларів.
Curio попередив свою спільноту про експлойт і підкреслив, що вони вирішують ситуацію. Компанія заявила, що смарт-контракт на основі MakerDAO, який використовується в Curio, був зламаний.
Однак компанія запевнила своїх користувачів, що експлойт вплинув лише на сторону Ethereum і що всі контракти Polkadot і Curio Chain залишаються в безпеці.
Фірма безпеки Web3 Cyvers оцінила збитки від експлойту близько 16 мільйонів доларів. Охоронна фірма заявила, що експлойт містить «вразливість логіки доступу».
25 березня Curio опублікував посмертний експлойт і план компенсації для постраждалих користувачів. У звіті Куріо підкреслив, що проблема полягала в недоліку контролю доступу до привілеїв голосування.
Завдяки цьому зловмисник отримав невелику кількість токенів Curio Governance (CGT), що дозволило йому отримати доступ і підвищити право голосу в смарт-контракті проекту.
Маючи підвищені права голосу, зловмисник виконав низку кроків, які зрештою дозволили виконати довільні дії в рамках контракту Curio DAO. Це призвело до несанкціонованого карбування 1 мільярда CGT.
У звіті Куріо сказав, що всі кошти, які постраждали від експлойту, будуть повернуті. Команда заявила, що випустить новий токен під назвою CGT 2.0. За допомогою нового токена команда пообіцяла відновити 100% коштів для власників CGT.
За темою: Хакер перераховує 10 мільйонів доларів від фішингового інциденту 2023 року на Tornado Cash
Для постачальників ліквідності Curio сказав, що буде проводити програму компенсації коштів. Команда повідомила, що виплачуватиметься в чотири етапи, кожен з яких триватиме 90 днів. Це може означати, що повна виплата потенційно може зайняти один рік. Вони написали:
«Програма компенсації складатиметься з 4 послідовних етапів, кожен з яких триватиме 90 днів. Протягом кожного етапу: компенсація буде виплачуватися в USDC/USDT, що становить 25% від збитків, понесених другим токеном у пулах ліквідності».
Компанія також заявила, що винагородить хакерів, які можуть допомогти у відновленні втрачених коштів. Команда заявила, що хакери можуть отримати винагороду, еквівалентну 10% коштів, відновлених на початковому етапі відновлення.
