Curve Finance, децентрализованная финансовая (DeFi) платформа для кредитования в стабильных монетах, официально заявила о своем намерении возместить ущерб пользователям, пострадавшим от недавнего взлома, в результате которого система потеряла 62 млн. долл.

Согласно сообщению компании Curve Finance, проводимые расследования приносят свои плоды: около 79% средств были успешно возвращены. Платформа также подчеркивает, что в настоящее время ее приоритетной задачей является оценка пропорциональных долей каждого пострадавшего пользователя.

Эта оценка направлена на обеспечение справедливого распределения ресурсов. Инцидент, произошедший 30 июля, был связан с использованием злоумышленниками уязвимостей в истории релизов компилятора Curve Finances Vyper.

Быстрое обновление после взлома.

В то время как 70% средств, пострадавших от взлома на прошлой неделе, восстановлены, в отношении остальных ведется активное расследование.

В то же время мы также работаем над измерением соответствующих долей каждого пострадавшего пользователя с целью правильного распределения

- Curve Finance (@CurveFinance) 11 августа 2023 г.

Автор взлома обратил свое внимание именно на версии 0.2.15 - 0.3.0 компилятора Vyper. Очевидно, что хакер продемонстрировал понимание слабых мест в исторических итерациях Vyper. Идентификация этих уязвимостей, как отмечают эксперты в данной области, потребовала бы значительной квалификации и значительных ресурсов.

Примечательно, что есть предположения, что это мероприятие тщательно планировалось до его введения в действие. Один из авторов Vyper уверен, что на разработку этой схемы хакерам потребовалось несколько недель, а то и месяцев. Среди пулов, подвергшихся воздействию, - CRV/ETH, alETH/ETH, msETH/ETH и pETH/ETH. Кроме того, растет опасение, что этому воздействию мог подвергнуться и три-криптовалютный пул на Arbitrum.

К сожалению, это нападение отразилось на всем ландшафте DeFi. Всестороннее изучение проблемы взлома показало, что в начинающем криптовалютном секторе существует серьезная проблема - отсутствие должных стимулов для выявления уязвимостей в предыдущих итерациях программного обеспечения.

Ответственному за нарушение было предложено вознаграждение в размере 10%, и, приняв предложение, злоумышленник через несколько дней приступил к процедуре восстановления средств. Этот ход был подтвержден данными Etherscan, которые показали, что человек, стоящий за атакой, провел три разных транзакции в кошелек разработчика Alchemix Finance. Суммарная стоимость этих переводов составила 4 821 Ethereum (ETH), что эквивалентно 8 891 578 долл. на данный момент. На данный момент процесс реституции остается незавершенным.

Журнал: Стоит ли криптопроектам вообще вести переговоры с хакерами? Вероятно,

Источник