30 июля четыре пула Curve Finance были взломаны из-за ошибки повторного входа, ставшей возможной благодаря языку программирования Vyper.

Хакеры атаковали четыре майнинг-пула и похитили в общей сложности 73,5 миллиона долларов. Практически сразу сообщество приступило к действиям — сама Curve продлила стандартную оливковую ветвь, предложив отнестись к инциденту как к инциденту «белой шляпы» в обмен на отправку обратно 90% украденных средств.

Между тем за хакерами последовали и настоящие белые шляпы, сумевшие вернуть небольшую часть средств и вернуть их на биржу.

Полное восстановление было невозможным

Некоторые злоумышленники, особенно те, кто участвовал в взломе Metronome, воспользовались предложением Curve, вернув 90% средств. К сожалению, не все хакеры были готовы отказаться от обретенного богатства.

После того, как около 52 миллионов долларов были возвращены, сообщество Curve приступило к решению задачи: следует ли выплачивать пользователям возмещение, и если да, то как это следует сделать.

В конечном итоге вопрос решился голосованием.

Делаем все возможное

Предложение, с которым согласились 94% избирателей, обещало не только возместить все неучтенные токены, но и компенсировать пропущенные выбросы CRV, которые были бы распределены в пулы Curve, если бы взлом не произошел.

«Хотя украденные средства в каждом пуле были полностью или частично возвращены, боты MEV оставили во всех затронутых пулах дефицит, и это предложение по исправлению ситуации направлено на то, чтобы восстановить затронутые LP. […] Общий объем ETH, подлежащий восстановлению, был рассчитан как 5919,2226 ETH. подлежащая взысканию CRV была рассчитана как 34 733 171,51 CRV, а общая сумма распределения была рассчитана как 55 544 782,73 CRV».

В конечном итоге сообщество возместит пострадавшим пользователям CRV на общую сумму 42 миллиона долларов, что нивелирует расчетные потери в размере более 94 миллионов долларов.

Просто хотел подчеркнуть масштаб этого. Жертвы восстанавливаются благодаря этому голосованию:
– ETH на сумму 7,2 миллиона долларов, возвращенный «белыми шляпами» для распределения DAO
– CRV на сумму 42 миллиона долларов в качестве компенсации за невозвращенные детали (переданные)
– Другие средства, возвращенные «белыми шляпами», распределены до голосования https://t.co/qmcK9pmTe5.

– Curve Finance (@CurveFinance) 22 декабря 2023 г.

Предложение возместить нереализованную прибыль было приятным штрихом, который, несомненно, укрепит доверие тех, кто инвестирует в пулы, связанные с CurveDAO.

Однако, похоже, разработчикам еще есть над чем поработать, чтобы эта дорогостоящая ситуация не повторилась. Стоит отметить, что еще одна атака на Curve Pools, хотя и с использованием другого метода, была успешно проведена только в прошлом месяце.

Учитывая огромные ресурсы рассматриваемого DAO, значительные инвестиции в повышение безопасности кажутся целесообразными.

Источник