Взлом Curve Finance произошел 30 июля, а в августе злоумышленники вернули часть средств. Были взломаны пулы ликвидности Curve (CRV), JPEG’d (JPEG), Alchemix (ALCX) и Metronome (MET). Общая сумма убытков составила $61,7 млн, однако хакеры вернули около $10 млн. За возмещение потерь пострадавшим пользователям выступило около 94% владельцев токенов CRV.
Just wanted to emphasize the scale of this. Victims are made whole with this vote with:
— Curve Finance (@CurveFinance) December 22, 2023
- $7.2M worth of ETH recovered by whitehats to the DAO being distributed
- $42M worth of CRV compensating unrecovered parts (vested)
- Other whitehat-recovered funds distributed before vote https://t.co/qmcK9pmTe5
«Хотя украденные средства в каждом пуле были полностью, либо частично возвращены, в пулах остался дефицит ликвидности и это предложение должно исправить ситуацию, а также вернуть полную сумму убытков затронутым взломом пользователям», ― отмечается в принятом предложении проекта.
Для взлома хакеры использовали уязвимость в некоторых версиях языка программирования Vyper, который часто используется для взаимодействия с Виртуальной машиной Эфириума (EVM). Версии Vyper 0.2.15, 0.2.16 и 0.3.0 оказались уязвимыми для атак с повторяющейся транзакцией.
В конце ноября хакерской атаке подвергся торговый протокол Velodrome Finance в экосистеме Optimism. Разработчикам пришлось приостановить работу проекта до исправления уязвимости.