Hacker por trás de roubo de US$ 61 milhões da Curve começa a devolver fundos
O hacker por trás do ataque da Curve Finance de 30 de julho devolveu US$ 8,9 milhões de fundos drenados, alegando que não quer “arruinar” os protocolos que explorou.
O hacker por trás do ataque de US$ 61 milhões contra a Curve Finance em 30 de julho devolveu 4.820,55 Alchemix ETH (alETH), no valor de aproximadamente US$ 8.889.118, para a equipe Alchemix Finance e 1 Ether (ETH), para a equipe da Curve Finance. O pool alETH-ETH do protocolo Alchemix Finance na Curve é um dos pools originalmente explorados.
We have received the test tx funds at 0x9e2b6378ee8ad2A4A95Fe481d63CAba8FB0EBBF9https://t.co/FZraob2wMq
— Alchemix (@AlchemixFi) August 4, 2023
O protocolo Curve Finance foi atacado por um bug de reentrância em 30 de julho, e mais de US$ 61 milhões em criptomoedas foram perdidos no ataque. A exploração afetou os pools Alchemix Finance alETH-ETH, JPEG’d pETH-ETH e Metronome sETH-ETH. O pool JPEG’d, em particular, foi executado por um bot de valor extraível do minerador (MEV), fazendo com que os lucros do ataque fossem para o bot em vez do invasor. A carteira de assinatura múltipla de emergência suspendeu todas as recompensas para os pools afetados em 2 de agosto.
As perdas totais para a exploração foram originalmente estimadas em US$ 47 milhões, mas posteriormente foram atualizadas para US$ 61,7 milhões.
Em 4 de agosto, às 15h45 UTC, o invasor postou uma mensagem na rede Ethereum, aparentemente dirigida às equipes de desenvolvimento Alchemix e Curve. Nela, o hacker alegou que iria devolver os fundos, mas apenas porque não queria “estragar” os projetos envolvidos, não porque o atacante tivesse sido pego.
Às 11h16 UTC, o invasor devolveu 1 alETH à conta do desenvolvedor da Curve Finance. Aproximadamente duas horas depois, eles fizeram três transferências separadas somando 4.820,55 alETH, que foram todas enviadas para a carteira multisig da equipe de desenvolvimento da Alchemix.
O total de fundos devolvidos soma aproximadamente US$ 8,9 milhões em criptomoedas. Como o ataque original foi de mais de US$ 61 milhões, esses fundos devolvidos representam aproximadamente 15% do valor total drenado. No entanto, alguns fundos podem ter sido transferidos para outros endereços e podem ser devolvidos em transações separadas.
O bot MEV que liderou o ataque ao pool JPEG’d também pode tentar devolver fundos. Depois de transferir os fundos para um endereço separado, ele postou uma mensagem às 6h47 UTC que sugeria que seu proprietário estava tentando negociar com os desenvolvedores por e-mail.
No entanto, os fundos do bot até agora não foram devolvidos a nenhuma conta de desenvolvedor verificável.