Хакер Curve Finance возвращает $5,4 млн, но CRV теряет 15%

30 июля компания Curve Finance обнаружила эксплойты на ряде своих стабильных пулов, использующих Vyper, который является языком программирования смарт-контрактов для виртуальной машины Ethereum (EVM).

Компания Curve предупредила своих пользователей о том, что стабильные пулы alETH, msETH и pETH, использующие Vyper 0.2.15, подверглись эксплуатации "в результате неисправности блокировки реентерабельности".

В компании добавили, что контракты crvUSD и любые пулы с ним не затрагиваются. Curve оперирует 232 различными пулами, но затронутыми оказались только те, которые используют данные версии Vyper.

Кроме того, контракты crvUSD и любые пулы с ним также не затрагиваются. Это подразумевается в твите, но все же https://t.co/YSRKBVA7Fd

- Curve Finance (@CurveFinance) 30 июля 2023 г.

Хакер кривых возвращает часть средств

Генеральный директор Curve Finance Михаил Егоров сообщил в своем Telegram-канале, что из своп-пула было выведено 32 млн. токенов CRV на сумму более 22 млн. долл. Однако общий объем потерь оценивается в 40 млн. долл.

Это вторжение дестабилизировало экосистему DeFi, которая во многом зависит от стабильных пулов Curve. Несколько протоколов DeFi, таких как Ellipsis, Alchemix и Metronome, сообщили об эксплуатации стабильных пулов.

Атака реентерабельности происходит, когда вычислительная процедура может быть прервана и повторно запущена до завершения выполнения ее предыдущих вызовов.

31 июля компания PeckShield сообщила, что эксплорер Curve вернул на адрес развертывателя протокола 2 879 ETH на сумму около $5,4 млн.

#PeckShieldAlert c0ffeebabe.eth вернул 2 879 $ETH (~$5,4 млн) развертывающему устройству #Curve https://t.co/33BJLaq12A pic.Twitter.com/2Jq0JOsrhV

- PeckShieldAlert (@PeckShieldAlert) 31 июля 2023 г.

Эта история еще развивается, и все станет ясно, когда появятся вскрытия.

В последнее время Curve уже подвергалась атакам: на прошлой неделе ее омнипул Conic Finance был использован для получения 3,6 млн долларов в Ethereum в результате аналогичной атаки с использованием реентерабельности.

Кроме того, по данным DeFiLlama, общая стоимость закрытой компании Curve Finance за время эксплуатации упала на 43% - с 3,26 млрд. долл. до 1,87 млрд. долл.

Обвал цен на CRV

Родной токен Curve, CRV, за несколько часов после атаки упал на 18%. На момент написания статьи CRV торговался на уровне 0,621 долл., потеряв за последние 24 часа 15%.

В последнее время токен DeFi переживает не лучшие времена: за последние две недели он упал на 23%. В результате курс CRV снизился на 96% по сравнению с историческим максимумом августа 2020 года, составлявшим 15,37 долл.

Большинство токенов, входящих в экосистему DeFi, сильно пострадали на этом "медвежьем" рынке и по-прежнему стоят на 80-90% ниже своих пиковых цен.