Ein Blick auf die Förderbewegungen wichtiger Interessengruppen im „Curve Event“
Am 30. Juli wurde der Curve-Stablecoin-Pool alETH/msETH/pETH aufgrund einer rekursiven Sperrlücke angegriffen, die in einigen Versionen von Vyper (0.2.15, 0.2.16 und 0.3.0) fehlschlug. Alchemix, JPEG’d, Metronome, deBridge und Ellipsis sind von den Angriffen auf einige der Stablecoin-Pools von Curve betroffen und erleiden derzeit einen kumulierten Verlust von etwa 70 Millionen US-Dollar:
- Alchemix: 7259 ETH und 4821 alETH (~22 Millionen US-Dollar);
- JPEG-Datei: 6106 ETH (ca. 11,4 Millionen USD);
- Metronom: 866.554 ETH (ca. 1,6 Millionen US-Dollar), 955 smETH (ca. 1,7 Millionen US-Dollar);
- CRV-ETH-Pool: 10.500 ETH (ca. 19,4 Millionen US-Dollar), 7,19 Millionen CRV (ca. 4,4 Millionen US-Dollar).
Von dem Angriff betroffen, fiel der Preis von CRV und das Darlehen des Gründers war dem Risiko einer Liquidation ausgesetzt
Am 31. Juli sank das Total Lock-up Volume (TVL) von Curve Finance, das von dem Angriff betroffen war, von 3,266 Milliarden US-Dollar am 30. Juli auf 1,869 Milliarden US-Dollar, was einem 24-Stunden-Rückgang von 42,78 % entspricht, und die CRV-Preise fielen im Jahr 24 um 14,89 % Stunden.
Der fallende Preis von CRV zwang Curve-Gründer Michael Egorov, sich dem Liquidationsrisiko seiner 70-Millionen-Dollar-Kreditposition bei Aave zu stellen. Vor diesem Hintergrund verkaufte Egorov CRV über OTC im Austausch gegen Mittel zur Rückzahlung des Darlehens.
Seit Beginn des OTC-Verkaufs am 1. August hat Egorov am 6. August 142,65 Millionen CRVs an 30 Investoren/Institutionen im Austausch für 57,06 Millionen US-Dollar verkauft.
Am 6. August hatte Egorov immer noch 269,8 Millionen CRV (ca. 166 Millionen US-Dollar) auf vier Plattformen verpfändet, mit einer Schuldenhöhe von ca. 48,7 Millionen US-Dollar.
Angreifer gibt Geld zurück
Am 30. Juli gab der Ausbeuter Coffeebabe.eth 786 ETH (1,45 Millionen US-Dollar) und 955 smETH (1,74 Millionen US-Dollar) an Metronome und 2.879 ETH (5,36 Millionen US-Dollar) an Curve Finance zurück;
Am 3. August schickte die Curve Foundation eine On-Chain-Nachricht an den Exploiter und bot an, 10 % der gestohlenen Gelder als Kopfgeld zu erhalten, wenn der Angreifer die restlichen 90 % bis zum 6. August um 8 Uhr (UTC) zurückgibt;
Am 4. August gab der Angreifer 0x6ec 5495 WETH (10 Millionen US-Dollar) an JPEG’d zurück und behielt 610 ETH (1,1 Millionen US-Dollar) als 10-prozentiges Kopfgeld; der Angreifer 0xdce gab 2258 ETH (415 Millionen US-Dollar) und 48,20 Alteth (8,82 Millionen US-Dollar) zurück );
Am 5. August gab 0xdce 4.999 ETH (9,18 Millionen US-Dollar) an AlchemixFi zurück, die alle zurückgegeben wurden;
Am 6. August waren 32 % der gestohlenen Vermögenswerte (ca. 18,7 Millionen US-Dollar) noch nicht zurückgegeben:
- 80 ETH (14.700 $) von MetronomeDAO (verwahrt bei Coffeebabe.eth);
- 7681 ETH (14,4 Millionen US-Dollar) und 7,19 Millionen CRV (4,43 Millionen US-Dollar) aus dem CRV-ETH-Pool.
Zum Zeitpunkt der Drucklegung wurden von den 59,5 Millionen US-Dollar, die durch den Curve Finance Vyper-Exploit gestohlen wurden, etwa 40,3 Millionen US-Dollar zurückgegeben, 560.000 US-Dollar wurden als Kopfgeld an den Hacker ausgezahlt und etwa 18,7 Millionen US-Dollar müssen vom CRV/ETH-Exploiter noch zurückgegeben werden ( 0xb752 …b324).
Am 7. August twitterte Curve Finance, dass die Frist für CRV/ETH-Schwachstellenangreifer zur freiwilligen Rückgabe von Geldern abgelaufen sei und ein Kopfgeld für jeden ausgezahlt werde, der Informationen liefert, die zur Festnahme und Verurteilung von Hackern führen (derzeit 1,85 Millionen US-Dollar).
