La agitación de la Curva ha terminado, y los movimientos financieros de los principales grupos de interés están siendo retomados

El 30 de julio, el pool de stablecoin Curve alETH/msETH/pETH fue atacado debido a una vulnerabilidad de bloqueo recursivo en algunas versiones de Vyper (0.2.15, 0.2.16 y 0.3.0). Alchemix, JPEG’d, Metronome, deBridge y Ellipsis han perdido alrededor de USD 70 millones como resultado de la parte Curve del ataque al pool de stablecoins:

• Alchemix: 7.259 ETH y 4.821 alETH (unos 22 millones de dólares);
• JPEG’d: 6.106 ETH (unos 11,4 millones de dólares);
• Metrónomo: 866.554 ETH (alrededor de 1.6 millones de dólares), 955 smETH (alrededor de 1.7 millones de dólares);
• Grupo CRV-ETH: 10.500 ETH (unos 19,4 millones de dólares), 7,19 millones de CRV (unos 4,4 millones de dólares).

Afectado por el ataque, el precio de CRV cayó y el préstamo del fundador corría el riesgo de ser liquidado

Afectado por el ataque, el 31 de julio, la posición total bloqueada (TVL) de Curve Finance ha disminuido de 3.266 millones de dólares el 30 de julio a 1.869 millones de dólares, una disminución de 24 horas del 42,78%, y el precio de CRV ha disminuido un 14,89% en 24 horas.

La caída del precio de CRV ha obligado a liquidar la posición de préstamo de USD 70 millones del fundador de Curve, Michael Egorov, en Aave. Con esto en mente, Egorov vendió el CRV sobre el OTC a cambio de fondos para pagar el préstamo.

Desde el inicio de la venta OTC el 1 de agosto, Egorov ha vendido un total de 142,65 millones de CRV a 30 inversores/instituciones hasta el 6 de agosto, a cambio de 57,06 millones de dólares.

Al 6 de agosto, Egorov todavía tenía 269.8 millones de CRV (USD 166 millones) apostados en cuatro plataformas, con un tamaño de deuda de alrededor de USD 48.7 millones.

El atacante devuelve los fondos

El 30 de julio, el explotador coffeebabe.eth devolvió 786 ETH (USD 1.45 millones) y 955 smETH (USD 1.74 millones) a Metronome, y 2,879 ETH (USD 5.36 millones) a Curve Finance.

El 3 de agosto, la Fundación Curve envió un mensaje on-chain al explotador en el que afirmaba que si el atacante devolvía el 90% restante antes de las 8 a.m. (UTC) del 6 de agosto, recibiría el 10% de los fondos robados como recompensa;

El 4 de agosto, los atacantes 0x6ec devuelto 5,495 WETH (USD 10 millones) a JPEG y se quedaron con 610 ETH (USD 1.1 millones) como recompensa del 10%, y los atacantes 0xdce devolvieron 2,258 ETH (USD 4.15 millones) y 4,820 alETH (USD 8.82 millones) a AlchemixFi.

El 5 de agosto, 0xdce devolvió 4,999 ETH (USD 9.18 millones) a AlchemixFi, todos los cuales han sido devueltos;

El 6 de agosto, el 32% de los activos robados (unos 18,7 millones de dólares) no habían sido devueltos:

• 80 ETH (USD 14,700) de MetronomeDAO (en manos de coffeebabe.eth);
• 7,681 ETH (USD 14.4 millones) y 7.19 millones de CRV (USD 4.43 millones) del pool CRV-ETH.

Al cierre de esta edición, de los USD 59.5 millones robados en el exploit Curve Finance Vyper, se han devuelto alrededor de USD 40.3 millones, USD 560,000 se han utilizado como recompensa para los piratas informáticos y los explotadores de CRV/ETH no han devuelto alrededor de USD 18.7 millones (0xb752… b324)。

El 7 de agosto, Curve Finance tuiteó que la fecha límite para que los atacantes del exploit CRV/ETH devolvieran voluntariamente sus fondos había pasado, y se ofrecerá una recompensa para recompensar a cualquiera que proporcione información que conduzca al arresto y condena del hacker (actualmente USD 1.85 millones).

Además, Odaily Planet Daily recuerda especialmente que recientemente han aparecido algunas cuentas en X (es decir, Twitter) haciéndose pasar por funcionarios de Curve, y las cuentas fraudulentas suelen estar marcadas con marcadores azules o amarillos, por lo que hay que prestar atención a las precauciones.