Потрясіння на кривій закінчилися, і фінансові рухи ключових груп інтересів пожвавилися

30 липня пул стейблкоїнів Curve alETH/msETH/pETH зазнав атаки через уразливість рекурсивного блокування в деяких версіях Vyper (0.2.15, 0.2.16 та 0.3.0). Alchemix, JPEG’d, Metronome, deBridge та Ellipsis втратили близько $70 млн внаслідок атаки пулу стейблкоїнів Curve:

• Alchemix: 7 259 ETH і 4 821 alETH (близько $22 млн);
• JPEG’d: 6 106 ETH (близько $11,4 млн);
• Метроном: 866,554 ETH (близько $1,6 млн), 955 smETH (близько $1,7 млн);
• Пул CRV-ETH: 10 500 ETH (близько $19,4 млн), 7,19 млн CRV (близько $4,4 млн).

Під впливом атаки ціна CRV впала, а запозичення засновника опинилося під загрозою ліквідації

Постраждала від атаки 31 липня загальна заблокована позиція (TVL) Curve Finance знизилася з $3,266 млрд 30 липня до $1,869 млрд, знизившись за 24 години на 42,78%, а ціна CRV знизилася на 14,89% за 24 години.

Зниження ціни CRV змусило засновника Curve Михайла Єгорова ліквідувати позицію на Aave на суму 70 мільйонів доларів. З огляду на це, Єгоров продав CRV через позабіржовий в обмін на кошти для погашення кредиту.

З моменту старту позабіржового продажу 1 серпня Єгоров продав загалом 142,65 млн CRV 30 інвесторам/установам станом на 6 серпня в обмін на $57,06 млн.

Станом на 6 серпня Єгоров все ще мав 269,8 мільйона CRV (166 мільйонів доларів) у стейкінгу на чотирьох платформах із розміром боргу близько 48,7 мільйона доларів.

Зловмисник повертає кошти

30 липня експлуататор coffeebabe.eth повернув Metronome 786 ETH ($1,45 млн) і 955 smETH ($1,74 млн), а Curve Finance — 2 879 ETH ($5,36 млн).

3 серпня Curve Foundation надіслав експлуататору ончейн-повідомлення про те, що якщо зловмисник поверне решту 90% до 8 ранку (UTC) 6 серпня, він отримає 10% від вкрадених коштів як винагороду;

4 серпня зловмисники 0x6ec повернули JPEG’d 5 495 WETH ($10 млн) і залишили собі 610 ETH ($1,1 млн) у вигляді 10% винагороди, а зловмисники 0xdce повернули AlchemixFi 2 258 ETH ($4,15 млн) і 4 820 alETH ($8,82 млн).

5 серпня 0xdce повернув AlchemixFi 4 999 ETH ($9,18 млн), і всі вони були повернуті;

Станом на 6 серпня 32% вкрадених активів (близько $18,7 млн) не були повернуті:

• 80 ETH ($14 700) від MetronomeDAO (зберігається на coffeebabe.eth);
• 7 681 ETH ($14,4 млн) і 7,19 млн CRV ($4,43 млн) з пулу CRV-ETH.

Станом на час публікації статті з 59,5 мільйона доларів, викрадених в експлойті Curve Finance Vyper, близько 40,3 мільйона доларів було повернуто, 560 000 доларів було використано як винагорода для хакерів, і близько 18,7 мільйона доларів не було повернуто експлойтерами CRV/ETH (0xb752… b324)。

7 серпня Curve Finance написала у Твіттері, що крайній термін добровільного повернення коштів зловмисниками експлойтом CRV/ETH минув, і буде запропонована винагорода для винагороди кожного, хто надасть інформацію, яка призвела до арешту та засудження хакера (наразі це 1,85 мільйона доларів).

Крім того, Odaily Planet Daily спеціально нагадує, що останнім часом з’явилися деякі акаунти в X (тобто Twitter), які видають себе за чиновників Curve, а шахрайські акаунти часто позначені синіми або жовтими маркерами, тому потрібно звернути увагу на запобіжні заходи.