Неизвестный хакер, атаковавший DEX Curve Finance, начал возврат средств. На момент написания он отправил обратно активы на сумму более $20 млн.

We would like to thank the @CurveFinance exploiter for returning a total of 4,819 $alETH and 2259 $ETH so far.

We are looking forward to continued collaboration, resulting in the return of remaining funds.

— Alchemix (@AlchemixFi) August 4, 2023

«Мы благодарим взломщика Curve Finance за возврат 4819 alETH и 2259 ETH [всего около $12,3 млн]. Надеемся на дальнейшее сотрудничество, которое приведет к возвращению оставшихся средств», — написали в Alchemix.

В сообщении к транзакции хакер объяснил свое решение не страхом быть пойманным, а нежеланием разрушать проект.

«Возможно, это много денег для многих людей, но не для меня. Я умнее вас всех», — написал он.

В проекте JPEG’d также подтвердили возврат 5494 WETH (более $10 млн). Хакер получил обещанную 10% награду в размере 610,6 WETH ($1,1 млн).

The JPEG’d DAO confirms receipt of 5,494.4 WETH back to the JPEG’d Multisig for a total of 5,495.4 WETH. A 10% white-hat bounty of 610.6 WETH was awarded to the owner of the address that recovered funds from the pETH exploit.https://t.co/nIBwHHxfQU

— JPEG’d (@JPEGd_69) August 4, 2023

30 июля неизвестный атаковал пулы стейблкоинов Curve Finance, используя уязвимость в программном коде Vyper. Изначально общие потери от взлома оценивались в $47 млн. Согласно Defi Llama, сумма увеличилась до $61,7 млн.

Инцидент затронул проекты Alchemix, JPEG’d, MetronomeDAO, Ellipsis и deBridge. Из-за наличия бага под угрозой оказалось более 450 пулов.

За несколько дней после взлома токен CRV потерял около 30%, опустившись до $0,5. После этого актив начал восстановление — на момент написания CRV торгуется на уровне $0,63.

Напомним, сооснователь Tron Джастин Сан и соучредитель Huobi Джун Ду приобрели 5 млн CRV и 10 млн CRV соответственно у основателя Curve Finance Михаила Егорова по цене ниже рыночной — $0,4 за токен.