30 июля платформа Curve Finance столкнулась со взломом, который способен привести к цепной реакции в DeFi. За неделю отток средств из различных программ кредитования достиг $2,7 млрд.
Из-за использования пулами CRV/ETH, alETH/ETH, msETH/ETH и pETH/ETH ранних версий языка Vyper, хакер смог в совокупности украсть около $70 млн. Сумма не катастрофичная на фоне ежегодных потерь от взломов различных проектов, если бы не падение стоимости CRV и его использование генеральным директором Curve Finance Михаилом Егоровым в качестве обеспечения для кредита в Aave.
Падение CRV ниже отметки в $0,37 спровоцирует принудительное закрытие позиции. Для Aave это станет головной болью, поскольку 168 млн монет CRV представляют собой треть оборотного предложения. Реализовать такой объем без значительного проскальзывания невозможно, что несет в себе системные риски уже для Aave и других связанных с ней платформ. На этом основании токен AAVE за неделю потерял 14%.
Для недопущения худшего из сценариев Егоров провел закрытую распродажу, выручив $16 млн за 39 млн CRV. Премия для покупателей составила 25% к рыночному курсу. Также Curve выступила с обращением к хакеру, предложив 10% вознаграждения за возврат украденных монет.
Компания предлагает хакеру в срок до 06 августа вернуть 90% украденных монет, обещая взамен не предпринимать против него каких-либо юридических действий. Если же в отмеченный срок деньги не поступят, то Curve назначит вознаграждение в виде 10% от украденной суммы за идентификацию злоумышленника. На данный момент это около $7 млн.
У криптодетективов, в частности ZachXBT, уже есть подозреваемый, с которым он вышел на связь. Подозреваемый же возразил, что он сам жертва взлома, и попросил ZachXBT отредактировать пост.
Возвращение части украденного в обмен на отказ от преследования — довольно распространенная практика для криптовалютного рынка. Нередко хакеры возвращают полную сумму, так как некоторым из них больше нравится сам процесс, а риск идентификации не равен нулю даже при самых изощренных методах кражи.
Так, вчера Илья Лихтенштейн, которому инкриминировалось отмывание украденных с Bitfinex в 2016 году средств, признал себя виновным в хакерской атаке. Внедрившись в сеть криптобиржи, Лихтенштейн провел свыше 2000 транзакций и присвоил 119 754 BTC. На текущий момент это $3,5 млрд.
Аналитическая группа StormGain