Отметим, что хакеры продолжают оставаться одной из главных угроз для держателей криптовалют и децентрализованных платформ в целом. Как сообщили в начале июля представители SlowMist, активность хакеров с 2012 года привела к потере криптовалютной индустрией эквивалента более 30 миллиардов долларов. Что особенно важно, 10.95 миллиарда из данной суммы были потеряны вследствие взломов централизованных криптовалютных бирж.
Криптовалютный хакер
Теперь опасность действий этой категории представителей криптовалютного сообщества могут подтвердить разработчики Curve Finance. Из-за неочевидного бага их платформа лишилась десятков миллионов долларов в криптовалюте.
Что произошло с Curve Finance?
На этой неделе представители Curve Finance совместно с членами команд пострадавших от взлома проектов отправили на адрес кошелька хакера публичное сообщение. В нём они предложили сделку – возврат 90 процентов украденных средств с обещанием не преследовать злоумышленника в дальнейшем. Если же тот не пойдёт на предложенные условия, его пообещали найти и наказать с применением всех законных способов.
Согласно данным источников Decrypt, сообщение было отправлено на адрес хакера в виде пустой транзакции с кодом зашифрованного сообщения. Оно выглядит так.
Мы, как группа Curve, Metronome и Alchemix хотим обсудить вознаграждение с теми, кто был вовлечён в недавний взлом Curve. Мы предлагаем вознаграждение в размере 10 процентов от всех украденных средств, которые вы можете оставить себе, если вернёте остальные 90 процентов.
Транзакция с обращением к хакеру
При удовлетворительном ответе злоумышленника на этот запрос авторы послания обещают не обращаться в правоохранительные органы и не преследовать его каким-либо другим образом. У хакера есть время до 6 августа 08:00 утра по UTC, то есть ещё около суток.
Если злоумышленник откажется или не подаст ответа до назначенного дедлайна, его ждут проблемы. Вот их описание от представителей платформы.
Мы передадим эти 10 процентов вознаграждения человеку, который сможет вас выследить и помочь довести дело до суда. Мы будем преследовать вас по всем направлениям по всей строгости закона.
Похоже, злоумышленник готов пойти на сделку и вернуть большую часть украденных активов. На это намекает его ответная транзакция с 1 ETH, в котором содержится следующее сообщение.
Пожалуйста, подтвердите, что Oxbabe61887f1de2713c6f97e567623453d3C79f67 – это ваш адрес из Твиттера, чтобы не было ошибок.
Иначе говоря, хакер попросил представителей проекта опубликовать адрес их кошелька, используя официальную учётную запись проекта в Твиттере. Таким образом злоумышленник хочет быть уверенным в том, что возвращает деньги на правильный адрес.
Транзакция с возвратом 1 ETH для тестирования перевода средств от хакера
Затем хакер опубликовал в блокчейне ещё одно сообщение. Вот его содержимое.
Я видел несколько нелепых мнений, и поэтому хочу прояснить, что возвращаю вам деньги не из-за перспективы выхода на меня вашими представителями, а потому что я не хочу портить ваш проект. Потому что я не хочу вредить вам, возможно, для многих людей это большие деньги, но не для меня. Я умнее вас всех, вашу мать!
Сообщение хакера, который взомал платформу Curve
Объём украденных хакером средств был бы больше, если бы не так называемые MEV-боты. Аккаунт платформы кибербезопасности PeckShield поделился в Твиттере скриншотом транзакции так называемого фронтрана перевода средств на адрес злоумышленника из пула JPEG’d. Иначе говоря, некоторые пользователи блокчейна смогли воспользоваться действиями хакера и опередить его в выводе криптоактивов.
Транзакция фронтрана с помощью MEV-ботов
MEV или maximal extractable value – это максимальная ценность, которая может быть извлечена валидатором блокчейна путём включения, исключения или изменения порядка транзакций внутри блока. В то же время MEV-бот это специальная программа, которая ищет значимые транзакции в очереди на подтверждение — в данном случае это была транзакция хакера на вывод средств — а затем проводит определённые действия для собственной выгоды, предлагая валидатору большую комиссию, чтобы его перевод прошёл быстрее.
То есть нескольким владельцам MEV-ботов удалось опередить основную транзакцию хакера, тем самым получив дополнительные средства. Один из этих пользователей уже вернул представителям Curve 5.4 миллиона долларов в крипте, в то время как другие пока не отдают полученные ими монеты.
На фоне новостей о взломе цена нативного токена платформы Curve под названием CRV заметно просела
Атака на Curve Finance состоялась 30 июля. Злоумышленнику удалось получить доступ к стейблкоинам в пулах децентрализованной биржи благодаря уязвимости в коде Vyper. Vyper – это язык программирования на основе Python, предназначенный для виртуальной машины Эфириума (EVM). Разработчики Curve признали, что уязвимость обнаружена в версиях 0.2.15, 0.2.16 и 0.3.0 языка.
Похоже, данный случай закончится относительно позитивно, а хакер сможет оставить десятую часть украденного себе. Важно отметить, что 10 процентов — стандартный размер баунти для разработчиков в подобных ситуациях. К примеру, аналогичную "награду" летом 2022 года предложили девелоперы блокчейн-моста Nomad, хак которого закончился кражей монет на 190 миллионов долларов. Так что в целом здесь всё могло быть значительно хуже.
Ещё больше интересного ищите в нашем крипточате бывших богачей. Там следим за другими важными событиями в индустрии децентрализованных активов и ждём наступления долгожданного буллрана.
ПОДПИСЫВАЙТЕСЬ НА НАШ КАНАЛ В ТЕЛЕГРАМЕ, ЧТОБЫ ЗНАТЬ БОЛЬШЕ.
