เมื่อวันที่ 30 กรกฎาคม Curve stablecoin pool alETH/msETH/pETH ถูกโจมตีเนื่องจากช่องโหว่การล็อกแบบเรียกซ้ำที่ล้มเหลวใน Vyper บางเวอร์ชัน (0.2.15, 0.2.16 และ 0.3.0) ได้รับผลกระทบจากการโจมตีกลุ่มเหรียญ Stablecoin ของ Curve ทำให้ปัจจุบัน Alchemix, JPEG'd, Metronome, deBridge และ Ellipsis มีขาดทุนสะสมประมาณ 70 ล้านดอลลาร์:

• Alchemix: 7259 ETH และ 4821 ทั้งหมด (ประมาณ 22 ล้านดอลลาร์);

• JPEG: 6106 ETH (~$11.4 ล้าน);

• เครื่องเมตรอนอม: 866.554 ETH (~$1.6 ล้าน), 955 smETH (~$1.7 ล้าน);

• ชื่อรอง

ได้รับผลกระทบจากการโจมตี ราคาของ CRV ลดลง และเงินกู้ของผู้ก่อตั้งมีความเสี่ยงที่จะถูกชำระบัญชี

ได้รับผลกระทบจากการโจมตี เมื่อวันที่ 31 กรกฎาคม ปริมาณการล็อครวม (TVL) ของ Curve Finance ลดลงจาก 3.266 พันล้านดอลลาร์ในวันที่ 30 กรกฎาคม เหลือ 1.869 พันล้านดอลลาร์ ลดลงใน 24 ชั่วโมง 42.78% และราคา CRV ลดลง 14.89% ในปี 24 ชั่วโมง

ราคาที่ลดลงของ CRV บังคับให้ Michael Egorov ผู้ก่อตั้ง Curve เผชิญกับความเสี่ยงในการชำระบัญชีจากตำแหน่งเงินกู้ 70 ล้านดอลลาร์ของเขาใน Aave ด้วยเหตุนี้ Egorov จึงขาย CRV ผ่าน OTC เพื่อแลกกับเงินทุนในการชำระคืนเงินกู้

นับตั้งแต่การขาย OTC เริ่มต้นในวันที่ 1 สิงหาคม ณ วันที่ 6 สิงหาคม Egorov ได้ขาย CRV จำนวน 142.65 ล้านรายการ ให้กับนักลงทุน/สถาบัน 30 แห่ง เพื่อแลกกับกองทุน 57.06 ล้านดอลลาร์

ชื่อรอง

ผู้โจมตีคืนเงินให้

เมื่อวันที่ 30 กรกฎาคม ผู้ใช้ประโยชน์ coffeebabe.eth ได้ส่งคืน 786 ETH (1.45 ล้านดอลลาร์) และ 955 smETH (1.74 ล้านดอลลาร์) ให้กับ Metronome และ 2,879 ETH (5.36 ล้านดอลลาร์) ให้กับ Curve Finance

เมื่อวันที่ 3 สิงหาคม Curve Foundation ส่งข้อความออนไลน์ไปยังผู้โจมตีโดยเสนอให้รับ 10% ของเงินที่ถูกขโมยไปเป็นค่าหัว หากผู้โจมตีส่งคืนส่วนที่เหลือ 90% ภายในวันที่ 6 สิงหาคม เวลา 8.00 น. (UTC)

เมื่อวันที่ 4 สิงหาคม ผู้โจมตี 0x6ec คืน 5495 WETH ($10 ล้าน) ให้กับ JPEG และเก็บ 610 ETH ($1.1 ล้าน) เป็นเงินรางวัล 10% ผู้โจมตี 0xdce คืน 2258 ETH ($415 ล้าน USD) และ 48.20 alteth (8.82 ล้านเหรียญสหรัฐ) );

เมื่อวันที่ 5 สิงหาคม 0xdce ส่งคืน 4,999 ETH ($9.18 ล้าน) ให้กับ AlchemixFi ซึ่งทั้งหมดถูกส่งคืนแล้ว

เมื่อวันที่ 6 สิงหาคม 32% ของทรัพย์สินที่ถูกขโมย (ประมาณ 18.7 ล้านดอลลาร์) ยังไม่ได้รับการส่งคืน:

• 80 ETH ($14,700) จาก MetronomeDAO (ดูแลที่ coffeebabe.eth);

• 7681 ETH (14.4 ล้านดอลลาร์) และ 7.19 ล้าน CRV (4.43 ล้านดอลลาร์) จากกลุ่ม CRV-ETH

ณ เวลานี้ เงินจำนวน 59.5 ล้านดอลลาร์ที่ถูกขโมยไปจากการใช้ประโยชน์จาก Curve Finance Vyper นั้นมีการส่งคืนไปแล้วประมาณ 40.3 ล้านดอลลาร์ 560,000 ดอลลาร์ถูกมอบให้เป็นค่าหัวสำหรับแฮ็กเกอร์ และอีกประมาณ 18.7 ล้านดอลลาร์ยังไม่ได้คืนโดยผู้แสวงหาผลประโยชน์จาก CRV/ETH ( 0xb752 ...b324)

เมื่อวันที่ 7 สิงหาคม Curve Finance ทวีตว่ากำหนดเวลาสำหรับผู้โจมตีที่มีช่องโหว่ CRV/ETH ในการคืนเงินโดยสมัครใจได้ผ่านไปแล้ว และจะมีการมอบเงินรางวัลสำหรับใครก็ตามที่ให้ข้อมูลที่นำไปสู่การจับกุมและการตัดสินลงโทษแฮกเกอร์ (ปัจจุบันมีมูลค่า 1.85 ล้านดอลลาร์)

นอกจากนี้ Odaily เตือนเป็นพิเศษว่าบางบัญชีบน X (นั่นคือ Twitter) แอบอ้างว่าเป็นเจ้าหน้าที่ของ Curve เมื่อเร็ว ๆ นี้ และบัญชีที่ฉ้อโกงมักมีเครื่องหมายสีน้ำเงินหรือสีเหลืองกำกับไว้ ดังนั้นจึงควรใช้ความระมัดระวัง