هکر Curve Pools وجوه دزدیده شده را برمی گرداند
مهاجم پلتفرم وام دهی Alchemix پس از پذیرش 7 میلیون دلار جایزه برای کشف این اشکال، شروع به بازگرداندن وجوه دزدیده شده از استخرهای Curve کرده است.
پلتفرم وام دهی Alchemix از بازگشت تمامی وجوه دزدیده شده توسط هکر Curve Finance خبر داده است. این حمله در 30 جولای رخ داد و منجر به تخلیه بیش از 61 میلیون دلار ارز دیجیتال، از جمله 13.6 میلیون دلار از استخر alETH-ETH پروژه Alchemix شد.
همراه با Alchemix، استخر pETH-ETH پروژه JPEGd با خروجی 11.4 میلیون دلاری مواجه شد و استخر seTH-ETH مترونوم بیش از 1.6 میلیون دلار تخلیه شد. هکر با استفاده از نسخههای آسیبپذیر زبان برنامهنویسی Vyper، استخرهای پایدار در Curve Finance را از طریق حملات ورود مجدد مورد هدف قرار داد.
بازیابی پس از پذیرفتن پیشنهاد پاداش باگ توسط هکر آغاز شد. Crow Finance، Metronome و Alchemix مشترکاً ایده ای را برای بازیابی وجوه دزدیده شده در 3 آگوست ارائه کردند و 10٪ از وجوه ضبط شده را به عنوان پاداش ارائه کردند. لازم به ذکر است ارزش این جایزه به 7 میلیون دلار می رسد.
در کمتر از 24 ساعت پس از پیشنهاد، مهاجم اصلی شروع به بازگرداندن وجوه دزدیده شده کرد. آنها ابتدا 4820.55 alETH را در 5 آگوست به تیم Alchemix Finance برگرداندند. مهاجم با ارسال پیامی که به نظر میرسد به تیمهای Alchemix و Curve ارسال شده بود، مدعی شد که میخواهد وجوه را برگرداند و توضیح داد که قصد تخریب پروژههای مربوطه را ندارد. در پیامی که روی زنجیر نوشته شده است آمده است:
من پول را پس می دهم نه به این دلیل که می توانید من را پیدا کنید، بلکه به این دلیل که نمی خواهم پروژه شما را نابود کنم.
پروتکل توکن غیرقابل تعویض JPEGd نیز تایید کرد که 5495 اتریوم توسط هکر بازیابی شده است. به عنوان بخشی از پیشنهاد جایزه، پروتکل اقدام قانونی علیه عاملان این حمله انجام نخواهد داد. تیم JPEGd اعلام کرد:
هرگونه تحقیقات یا اقدام قانونی بیشتر علیه عاملان این حمله متوقف خواهد شد. ما این را به عنوان کمک یک هکر کلاه سفید می بینیم.