ru
Назад к списку

Хакер украл у платформы Curve Finance 52 миллиона долларов, но пообещал вернуть большую часть суммы. Почему?

source-logo  2bitcoins.ru 05 Август 2023 06:00, UTC

30 июля 2023 года децентрализованную биржу Curve Finance взломал неизвестный хакер, который нанёс её разработчикам и пользователям убыток в общей сумме 52 миллиона долларов. Именно такой объём цифровых активов забрал злоумышленник после обнаружения уязвимости в платформе. Токены были выведены из трёх пулов от MetronomeDAO, Alchemix Finance и JPEG’d. Впрочем, в итоге создатели платформы всё же смогли выйти из ситуации. Рассказываем о происходящем подробнее.

Отметим, что хакеры продолжают оставаться одной из главных угроз для держателей криптовалют и децентрализованных платформ в целом. Как сообщили в начале июля представители SlowMist, активность хакеров с 2012 года привела к потере криптовалютной индустрией эквивалента более 30 миллиардов долларов. Что особенно важно, 10.95 миллиарда из данной суммы были потеряны вследствие взломов централизованных криптовалютных бирж.

Криптовалютный хакер

Теперь опасность действий этой категории представителей криптовалютного сообщества могут подтвердить разработчики Curve Finance. Из-за неочевидного бага их платформа лишилась десятков миллионов долларов в криптовалюте.

Что произошло с Curve Finance?

На этой неделе представители Curve Finance совместно с членами команд пострадавших от взлома проектов отправили на адрес кошелька хакера публичное сообщение. В нём они предложили сделку – возврат 90 процентов украденных средств с обещанием не преследовать злоумышленника в дальнейшем. Если же тот не пойдёт на предложенные условия, его пообещали найти и наказать с применением всех законных способов.

Согласно данным источников Decrypt, сообщение было отправлено на адрес хакера в виде пустой транзакции с кодом зашифрованного сообщения. Оно выглядит так.

Мы, как группа Curve, Metronome и Alchemix хотим обсудить вознаграждение с теми, кто был вовлечён в недавний взлом Curve. Мы предлагаем вознаграждение в размере 10 процентов от всех украденных средств, которые вы можете оставить себе, если вернёте остальные 90 процентов.

Транзакция с обращением к хакеру

При удовлетворительном ответе злоумышленника на этот запрос авторы послания обещают не обращаться в правоохранительные органы и не преследовать его каким-либо другим образом. У хакера есть время до 6 августа 08:00 утра по UTC, то есть ещё около суток.

Если злоумышленник откажется или не подаст ответа до назначенного дедлайна, его ждут проблемы. Вот их описание от представителей платформы.

Мы передадим эти 10 процентов вознаграждения человеку, который сможет вас выследить и помочь довести дело до суда. Мы будем преследовать вас по всем направлениям по всей строгости закона.

Похоже, злоумышленник готов пойти на сделку и вернуть большую часть украденных активов. На это намекает его ответная транзакция с 1 ETH, в котором содержится следующее сообщение.

Пожалуйста, подтвердите, что Oxbabe61887f1de2713c6f97e567623453d3C79f67 – это ваш адрес из Твиттера, чтобы не было ошибок.

Иначе говоря, хакер попросил представителей проекта опубликовать адрес их кошелька, используя официальную учётную запись проекта в Твиттере. Таким образом злоумышленник хочет быть уверенным в том, что возвращает деньги на правильный адрес.

Транзакция с возвратом 1 ETH для тестирования перевода средств от хакера

Затем хакер опубликовал в блокчейне ещё одно сообщение. Вот его содержимое.

Я видел несколько нелепых мнений, и поэтому хочу прояснить, что возвращаю вам деньги не из-за перспективы выхода на меня вашими представителями, а потому что я не хочу портить ваш проект. Потому что я не хочу вредить вам, возможно, для многих людей это большие деньги, но не для меня. Я умнее вас всех, вашу мать!

Сообщение хакера, который взомал платформу Curve

Объём украденных хакером средств был бы больше, если бы не так называемые MEV-боты. Аккаунт платформы кибербезопасности PeckShield поделился в Твиттере скриншотом транзакции так называемого фронтрана перевода средств на адрес злоумышленника из пула JPEG’d. Иначе говоря, некоторые пользователи блокчейна смогли воспользоваться действиями хакера и опередить его в выводе криптоактивов.

Транзакция фронтрана с помощью MEV-ботов

MEV или maximal extractable value – это максимальная ценность, которая может быть извлечена валидатором блокчейна путём включения, исключения или изменения порядка транзакций внутри блока. В то же время MEV-бот это специальная программа, которая ищет значимые транзакции в очереди на подтверждение — в данном случае это была транзакция хакера на вывод средств — а затем проводит определённые действия для собственной выгоды, предлагая валидатору большую комиссию, чтобы его перевод прошёл быстрее.

То есть нескольким владельцам MEV-ботов удалось опередить основную транзакцию хакера, тем самым получив дополнительные средства. Один из этих пользователей уже вернул представителям Curve 5.4 миллиона долларов в крипте, в то время как другие пока не отдают полученные ими монеты.

На фоне новостей о взломе цена нативного токена платформы Curve под названием CRV заметно просела

Атака на Curve Finance состоялась 30 июля. Злоумышленнику удалось получить доступ к стейблкоинам в пулах децентрализованной биржи благодаря уязвимости в коде Vyper. Vyper – это язык программирования на основе Python, предназначенный для виртуальной машины Эфириума (EVM). Разработчики Curve признали, что уязвимость обнаружена в версиях 0.2.15, 0.2.16 и 0.3.0 языка.


Похоже, данный случай закончится относительно позитивно, а хакер сможет оставить десятую часть украденного себе. Важно отметить, что 10 процентов — стандартный размер баунти для разработчиков в подобных ситуациях. К примеру, аналогичную "награду" летом 2022 года предложили девелоперы блокчейн-моста Nomad, хак которого закончился кражей монет на 190 миллионов долларов. Так что в целом здесь всё могло быть значительно хуже.

2bitcoins.ru