A turbulência da Curva acabou, e os movimentos financeiros dos principais grupos de interesse estão sendo recuperados

Em 30 de julho, o pool de stablecoin Curve alETH/msETH/pETH foi atacado devido a uma vulnerabilidade de bloqueio recursivo em algumas versões do Vyper (0.2.15, 0.2.16 e 0.3.0). Alchemix, JPEG’d, Metronome, deBridge e Ellipsis perderam cerca de US$ 70 milhões como resultado da parte Curve do ataque ao pool de stablecoins:

• Alchemix: 7.259 ETH e 4.821 alETH (cerca de US$ 22 milhões);
• JPEG’d: 6.106 ETH (cerca de US$ 11,4 milhões);
• Metrônomo: 866.554 ETH (cerca de US$ 1,6 milhão), 955 smETH (cerca de US$ 1,7 milhão);
• Pool CRV-ETH: 10.500 ETH (cerca de US$ 19,4 milhões), 7,19 milhões de CRV (cerca de US$ 4,4 milhões).

Afetado pelo ataque, o preço do CRV caiu, e o empréstimo do fundador estava em risco de liquidação

Afetada pelo ataque, em 31 de julho, a posição total bloqueada (TVL) da Curve Finance diminuiu de US$ 3,266 bilhões em 30 de julho para US$ 1,869 bilhão, uma queda de 42,78% em 24 horas, e o preço do CRV diminuiu 14,89% em 24 horas.

A queda do preço do CRV forçou a liquidação da posição de empréstimo de US$ 70 milhões do fundador da Curve, Michael Egorov, na Aave. Com isso em mente, Egorov vendeu o CRV sobre o OTC em troca de fundos para pagar o empréstimo.

Desde o início da venda OTC em 1º de agosto, Egorov vendeu um total de 142,65 milhões de CRV para 30 investidores/instituições até 6 de agosto, em troca de US$ 57,06 milhões.

Em 6 de agosto, Egorov ainda tinha 269,8 milhões de CRV (US$ 166 milhões) em quatro plataformas, com uma dívida de cerca de US$ 48,7 milhões.

O atacante devolve os fundos

Em 30 de julho, o explorador coffeebabe.eth devolveu 786 ETH (US$ 1,45 milhão) e 955 smETH (US$ 1,74 milhão) à Metronome, e 2.879 ETH (US$ 5,36 milhões) à Curve Finance.

Em 3 de agosto, a Curve Foundation enviou uma mensagem on-chain para o explorador informando que se o invasor devolver os 90% restantes até as 8h (UTC) de 6 de agosto, eles receberão 10% dos fundos roubados como recompensa;

Em 4 de agosto, os atacantes 0x6ec devolveram 5.495 WETH (US$ 10 milhões) para a JPEG’d e mantiveram 610 ETH (US$ 1,1 milhão) como uma recompensa de 10%, e os atacantes 0xdce devolveram 2.258 ETH (US$ 4,15 milhões) e 4.820 alETH (US$ 8,82 milhões) para a AlchemixFi.

Em 5 de agosto, 0xdce devolveu 4.999 ETH (US$ 9,18 milhões) à AlchemixFi, todos devolvidos;

Em 6 de agosto, 32% dos ativos roubados (cerca de US$ 18,7 milhões) não haviam sido devolvidos:

• 80 ETH ($14,700) da MetronomeDAO (detida por coffeebabe.eth);
• 7.681 ETH (US$ 14,4 milhões) e 7,19 milhões de CRV (US$ 4,43 milhões) do pool CRV-ETH.

Até o momento da publicação, dos US$ 59,5 milhões roubados na exploração Curve Finance Vyper, cerca de US$ 40,3 milhões foram devolvidos, US$ 560.000 foram usados como recompensa para hackers e cerca de US$ 18,7 milhões não foram devolvidos por exploradores de CRV/ETH (0xb752… B324)。

Em 7 de agosto, a Curve Finance tuitou que o prazo para os invasores da exploração CRV/ETH devolverem voluntariamente seus fundos já passou, e uma recompensa será oferecida para recompensar qualquer pessoa que forneça informações que levaram à prisão e condenação do hacker (atualmente US$ 1,85 milhão).

Além disso, o Odaily Planet Daily lembra especialmente que algumas contas no X (ou seja, Twitter) apareceram recentemente fingindo ser funcionários da Curve, e contas fraudulentas são frequentemente marcadas com marcadores azuis ou amarelos, então você precisa prestar atenção às precauções.