Il protocollo di prestito Curve Finance ha recentemente adottato misure significative per affrontare le vulnerabilità e gli exploit che ha dovuto affrontare a luglio. In risposta all'exploit Curve del 30 luglio e all'exploit Multichain del 6 luglio, il protocollo ha interrotto i premi dei token di governance per alcuni pool di liquidità. Questa decisione è stata resa pubblica il 2 agosto da un membro dell'organo di governo del protocollo, Gabriel Shapiro.
La cessazione dei premi è stata effettuata dall'organizzazione autonoma decentralizzata Curve Emergency (Curve E-DAO), composta da membri selezionati dell'organo di governo Curve DAO. I pool interessati includono alETH+ETH, msETH-ETH, pETH-ETH, crvCRVETH, Arbitrum Tricrypto e multibtc3CRV, come menzionato nell'annuncio ufficiale. Tuttavia, è importante notare che la decisione può essere revocata in futuro se Curve DAO effettua una votazione completa.
Gli incidenti che hanno portato a questa decisione sono stati particolarmente preoccupanti. Il 6 luglio, una notevole quantità di criptovaluta, pari a oltre $ 100 milioni, è stata ritirata da vari bridge associati al protocollo Multichain. Il team di Multichain ha definito questi prelievi "anormali" e ha consigliato agli utenti di interrompere l'uso di Multichain. In risposta a ciò, il team di Curve ha anche avvertito i propri utenti di ritirare asset come multiBTC, indicando che il proprio pool di liquidità multibtc3CRV era a rischio.
Successivamente, il 14 luglio, il team di Multichain ha rivelato che i prelievi sono stati attivati da un individuo sconosciuto che era riuscito ad accedere all'account di cloud computing del CEO, portando allo sfruttamento di fondi che potrebbero non essere mai recuperati.
Hacking di Curve Finance
Come se ciò non bastasse, il 30 luglio, la stessa Curve Finance è stata vittima di un attacco di rientro che ha provocato la perdita di oltre $ 47 milioni di criptovaluta. L'attacco ha preso di mira i pool alETH, msETH e pETH, che erano vulnerabili a causa del loro utilizzo del protocollo Vyper contenente la vulnerabilità sfruttabile. Altri pool creati con mezzi diversi non sono stati interessati.
Nonostante questi exploit e vulnerabilità significativi, i pool interessati hanno continuato a generare premi token di governance Curve DAO (CRV), consentendo agli utenti di guadagnare CRV depositando i propri token in questi pool compromessi. Tuttavia, l'annuncio del 2 agosto ha indicato che la DAO di emergenza è intervenuta cessando questi premi per impedire un'ulteriore incentivazione della partecipazione ai pool vulnerabili.
È essenziale sottolineare che lo spazio crittografico continua ad affrontare sfide e gli investitori hanno subito perdite a causa di hack e truffe nei mesi di luglio e agosto. In particolare, il fornitore di servizi di pagamento Alphapo avrebbe perso più di 60 milioni di dollari il 23 luglio, secondo quanto riferito a causa di un utente malintenzionato che ha ottenuto l'accesso alle chiavi private del portafoglio caldo dell'azienda. Sebbene la società non abbia confermato ufficialmente l'attacco, l'analisi degli investigatori on-chain suggerisce che i trasferimenti fossero anomali e probabilmente il risultato di un hack. Inoltre, il 25 luglio, zkSync è stato sfruttato per 3,4 milioni di dollari a causa di un bug di rientro di sola lettura.