Il 30 luglio quattro pool di Curve Finance sono stati sfruttati a causa di un bug di rientro reso possibile dal linguaggio di programmazione Vyper.
Gli hacker hanno attaccato quattro mining pool e hanno rubato un totale di 73,5 milioni di dollari. Quasi immediatamente, la comunità è entrata in azione: la stessa Curve ha offerto il tradizionale ramoscello d'ulivo, offrendosi di trattare l'incidente come un incidente da cappello bianco in cambio della restituzione del 90% dei fondi rubati.
Nel frattempo, anche i veri White Hat hanno inseguito gli hacker, riuscendo a recuperare una piccola parte dei fondi e a restituirli all'exchange.
Il recupero totale era impossibile
Alcuni degli aggressori – in particolare quelli coinvolti nella violazione di Metronome – hanno accettato l’offerta di Curve, restituendo il 90% dei fondi. Sfortunatamente, non tutti gli hacker erano disposti a rinunciare alla ricchezza ritrovata.
Dopo che sono stati recuperati circa 52 milioni di dollari, la comunità Curve ha iniziato il compito di decidere se gli utenti dovessero essere rimborsati e, in caso affermativo, come dovrebbe essere fatto.
Alla fine la questione è stata decisa con una votazione.
Andare oltre
La proposta , approvata dal 94% degli elettori, prometteva non solo di rimborsare eventuali token rimasti in sospeso, ma anche di compensare le emissioni CRV mancate che sarebbero state distribuite ai pool Curve se l'hacking non fosse avvenuto.
“Mentre i fondi rubati in ciascun pool sono stati recuperati completamente o parzialmente, i robot MEV hanno lasciato tutti i pool interessati con un deficit e questa proposta di riparazione mira a rendere integri gli LP interessati. […] L'ETH complessivo da recuperare è stato calcolato come 5919,2226 ETH, il CRV da recuperare è stato calcolato come 34.733.171,51 CRV e il totale da distribuire è stato calcolato come 55'544'782,73 CRV.”
Alla fine, la comunità rimborserà gli utenti interessati per un totale di 42 milioni di dollari in CRV, annullando la perdita calcolata di oltre 94 milioni di dollari.
Volevo solo sottolineare la portata di tutto ciò. Le vittime sono guarite con questo voto con:
– 7,2 milioni di dollari di ETH recuperati dai whitehat al DAO in fase di distribuzione
– 42 milioni di dollari di CRV a compensazione delle parti non recuperate (acquisite)
– Altri fondi recuperati dai whitehat distribuiti prima del voto https://t.co/qmcK9pmTe5– Curve Finance (@CurveFinance) 22 dicembre 2023
Offrire di rimborsare i guadagni non realizzati è stato un bel tocco, che sicuramente rafforzerà la fiducia di coloro che investono nei pool relativi a CurveDAO.
Tuttavia, sembra che gli sviluppatori abbiano ancora del lavoro da fare per garantire che questa costosa situazione non si ripeta. Vale la pena ricordare che un altro attacco a Curve Pools, sebbene utilizzando un metodo diverso, è stato eseguito con successo proprio il mese scorso.
Date le vaste risorse della DAO in questione, sembra necessario un investimento significativo in una migliore sicurezza.
Il post Curve Finance rimborsa l'importo totale rubato a luglio è apparso per la prima volta su CryptoPotato .