Согласно данным оповещения о Пексилде, неизвестный майнер, извлеченный извлеченный ценность (MEV), стал жертвой взлома, что привело к потере приблизительно 2 миллиона долларов.

Инцидент, который произошел в известных кривых бассейнах, привел к множеству больших обменов и последующего арбитража обратного обмена.

Злоумышленник манипулирует кривым пулом

Эксплуатация произошла, когда арбитражная функция, 0xf6ebebbb (), не имела надлежащей аутентификации, предоставляя атакующую открытую дверь для манипулирования свопами по нескольким пулам кривой. Эта злонамеренная деятельность привела к значительному проскальзыванию, что привело к существенным потерям для пораженных сторон.

#MEV Неизвестный MEV BOT был эксплуатирован (с потерей 2 миллиона долларов), чтобы сделать несколько больших изменений в бассейнах #Curve, что привело к ARB с простыми обратными обменами.
https://t.co/poy91xvwc4 pic.Twitter.com/vu1caxsrdt

- Peckshieldalert (@peckshieldalert) 8 ноября 2023 г.

Когда ситуация разворачивалась, злоумышленник хитро изменил свопы, чтобы максимизировать свою прибыль, усугубляя влияние этого инцидента.

Злоумышленник использовал арбитражный бот, что привело к потере 2,3 млн. Долл. США в пуле кривых. Они обнаружили обнаженную функцию внутри бота, которая позволила им запустить транзакцию от обернутого эфира (weth) в обернутый биткойн (WBTC).

Впоследствии они выполнили флеш -кредит на 27 255 Weth (эквивалентно 51,36 млн. Долл. США), используя его для значительного манипулирования соотношением цены Weth/WBTC в пуле кривых.

Дестабилизируя пул, злоумышленник вынудил арбитражный бот преобразовать 1 339,8 Weth (приблизительно 2,52 млн. Долл. США) в 6,95 WBTC (около 244 000 долл. США).

Важно отметить, что владелец бота MEV уже снял средства из контракта до атаки.

Кривая финансирование предыдущих эксплойтов

30 июля 2023 года серия эксплуатации произошла в нескольких пулах ликвидности при финансировании кривой, что привело к убыткам примерно 70 миллионов долларов. Этот инцидент вызвал серьезные опасения в сообществе DeFi. Атаки стали возможными благодаря уязвимости в Vyper, стороннем языке Pythonic Programming, используемом интеллектуальными контрактами Ethereum, в том числе кривой и другими децентрализованными протоколами.

Важно отметить, что после первоначального инцидента как хакеры, так и операторы бота из белой шляпы, и операторы бота (MEV) сотрудничали для восстановления части потерянных средств. В результате конечное значение потерь может быть ниже, чем предложенные первоначальные отчеты.

Менее чем через неделю после эксплуатации хакер вернул 4820 Алет и 2258 ETH в Alchemix, который составил приблизительно 12,7 млн. Долл. США.

6 августа 2023 года Curve Finance объявила через Twitter, что хакер для хакеры добровольно вернет оставшиеся средства. В результате компания расширила свое предложение о награждениях на 1,85 миллиона долларов любому, кто мог идентифицировать хакера.

Источник