Злоумышленник, стоящий за атакой Curve Finance 30 июля на сумму 61 миллион долларов, вернул 4 820,55 ETH Alchemix (alETH) на сумму около 8 889 118 долларов команде Alchemix Finance и 1 эфир (ETH) примерно на 1 844 доллара команде Curve Finance. Пул alETH-ETH протокола Alchemix Finance на Curve — один из первоначально использованных пулов.
Мы получили средства для тестовых переводов по адресу 0x9e2b6378ee8ad2A4A95Fe481d63CAba8FB0EBBF9https://t.co/FZraob2wMq.
— Алхимикс (@AlchemixFi) 4 августа 2023 г.
Протокол Curve Finance был атакован из-за ошибки повторного входа 30 июля, и в результате атаки было потеряно криптовалют на сумму более 61 миллиона долларов. Эксплойт затронул пулы Alchemix Finance alETH-ETH, JPEG-d pETH-ETH и Metronome sETH-ETH. Пул JPEG, в частности, управлялся ботом, извлекаемым для майнера (MEV), в результате чего доходы от атаки пошли боту, а не злоумышленнику. Экстренный мультиподписной кошелек приостановил все вознаграждения для затронутых пулов 2 августа.
Общие убытки от эксплойта первоначально оценивались в 47 миллионов долларов, но позже были обновлены до 61,7 миллиона долларов.
4 августа в 15:45 по всемирному координированному времени злоумышленник разместил сообщение в сети Ethereum, по-видимому, адресованное командам разработчиков Alchemix и Curve. В нем злоумышленники утверждали, что вернут средства, но только потому, что не хотят «загубить» задействованные проекты, а не потому, что злоумышленника поймали.
В 11:16 по всемирному координированному времени злоумышленник вернул 1 alETH на учетную запись развертывателя Curve Finance. Приблизительно через два часа они сделали три отдельных перевода, в сумме 4820,55 alETH, которые были отправлены на мультиподписной кошелек команды разработчиков Alchemix.
Связанный: Curve, Metronome и Alchemix предлагают 10% вознаграждение за ошибку при взломе Vyper
Общая сумма возвращенных средств составляет около 8,9 миллионов долларов в криптовалюте. Поскольку первоначальная атака была на сумму более 61 миллиона долларов, эти возвращенные средства составляют примерно 15% от общей суммы, потраченной. Однако некоторые средства могли быть переведены на другие адреса и могут быть возвращены отдельными транзакциями.
Бот MEV, который руководил атакой пула JPEG, также может попытаться вернуть средства. После перевода средств на отдельный адрес в 6:47 UTC было опубликовано сообщение, в котором говорилось, что его владелец пытается вести переговоры с разработчиками по электронной почте.
Однако средства от бота до сих пор не были возвращены ни на один поддающийся проверке аккаунт разработчика.
Источник: Сointеlеgrаph