Curve Finance, ein beliebtes dezentrales Finanzprotokoll (DeFi), hat angekündigt, dass es Personen belohnen wird, die in der Lage sind, die Ausbeuter zu identifizieren, die am 30. Juli über 61 Millionen US-Dollar aus den stabilen Pools der Plattform abgezogen haben.
Das riesige Kopfgeldangebot steht jedem offen, der die Person, die hinter dem Vorfall steckt, auf eine Weise identifizieren kann, die rechtliche Konsequenzen nach sich ziehen würde.
Curve Finance hat das Kopfgeldangebot öffentlich gemacht, indem es einen Ethereum Eingabedatensatz der Transaktion verwendet hat. Die zulässige Zeit für die freiwillige Rückgabe der mit dem Curve-Exploit verbundenen Gelder war der 8. August, und diese Frist ist nun abgelaufen.
Curve und andere Protokolle wurden zuvor von dem Angriff betroffen. Am 3. August erhielt der Hacker eine Bug-Bounty in Höhe von 10 %. Nachdem er dem Angebot zugestimmt hatte, gab der Hacker einen Teil der gestohlenen Vermögenswerte an JPEGd und Alchemix zurück, erstattete jedoch keine Rückerstattung für andere betroffene Pools.
Da die zulässige Zeit abgelaufen ist, hat Curve bekannt gegeben, dass jede Person, die den Hacker identifizieren kann, Vermögenswerte im Wert von 1,85 Millionen US-Dollar erhalten würde. Der Umfang dieser jüngsten Ankündigung wurde auf die breite Öffentlichkeit ausgeweitet.
Obwohl die Frist für die freiwillige Rückgabe gestohlener Gelder abgelaufen ist, hat Curve erklärt, dass sie den Hacker nicht weiter verfolgen wird, falls dieser sich entscheidet, die gestohlenen Gelder zurückzugeben.
Als der Hacker zuvor Teile der Gelder zurückgab, hinterließ er eine Nachricht, die offenbar an die Teams von Curve und Alchemix gerichtet war. Darin gab er an, die Gelder aus dem Wunsch heraus zurückzugeben, die mit dem Exploit verbundenen Projekte nicht zu „ruinieren“, und nicht aus Angst vor Strafverfolgung.
Der Exploit, der der Curve Finance-Community einen Schock versetzte, machte sich Schwachstellen in der Programmiersprache Vyper für die Implementierung von Wiedereintrittsangriffen auf stabile Pools innerhalb der Plattform zunutze. Der Angriff kostete Curve Finance über 61 Millionen US-Dollar, einschließlich 13,6 Millionen US-Dollar von aIETH-ETH von Alchemix, 11,4 Millionen US-Dollar von pETH-ETH von JPEGd und 1,6 Millionen US-Dollar von sETH-ETH von Metronome. Dieser Vorfall löste Bedenken hinsichtlich der Auswirkungen auf das Kryptowährungs-Ökosystem aus, insbesondere im Hinblick auf die Risiken für alle Pools, die Wrapped Ethereum (WETH) verwenden.
Die DeFi-Community hat sich zusammengeschlossen, um Curve Finance zu unterstützen, und am 31. Juli konnte ein sogenannter White-Hat-Hacker erfolgreich etwa 2.879 Ethereum, im Wert von etwa 5,4 Millionen US-Dollar, vom Ausbeuter zurückgewinnen, die später an Curve Finance zurückgegeben wurden. Ein anderer ethischer Hacker erbeutete ebenfalls etwa 3.000 ETH und erstattete sie an die Adresse des Curve Finance-Deployers.
Der CRV-Preis stagnierte nach dem Exploit bei 0,61 $. Es bleibt abzuwarten, ob die öffentliche Belohnung dazu beitragen wird, den Hacker zu identifizieren und die gestohlenen Gelder zurückzuerlangen.