A turbulência da Curva chegou ao fim, vamos dar uma olhada nos movimentos de financiamento dos principais grupos de interesse

Em 30 de julho, o pool de stablecoin da Curve alETH/msETH/pETH foi atacado devido a uma vulnerabilidade de bloqueio recursivo que falhou em algumas versões do Vyper (0.2.15, 0.2.16 e 0.3.0). Afetados pelo ataque a alguns dos pools de stablecoin da Curve, Alchemix, JPEG’d, Metronome, deBridge e Ellipsis atualmente têm uma perda cumulativa de cerca de US$ 70 milhões:

• Alchemix: 7259 ETH e 4821 alETH (cerca de 22 milhões de USD);
• JPEG’d: 6106 ETH (cerca de 11,4 milhões de dólares);
• Metrônomo: 866.554 ETH (cerca de US$ 1,6 milhão), 955 smETH (cerca de US$ 1,7 milhão);
• Pool CRV-ETH: 10.500 ETH (aproximadamente US$ 19,4 milhões), 7,19 milhões de CRV (aproximadamente US$ 4,4 milhões).

Afetado pelo ataque, preço do CRV caiu e empréstimo do fundador corria risco de liquidação

Afetado pelo ataque, em 31 de julho, o volume total de bloqueios (TVL) da Curve Finance caiu de US$ 3,266 bilhões em 30 de julho para US$ 1,869 bilhão, uma queda de 42,78% em 24 horas, e os preços do CRV caíram 14,89% em 24 horas.

A queda do preço do CRV forçou o fundador da Curve, Michael Egorov, a enfrentar o risco de liquidação de sua posição de empréstimo de $ 70 milhões na Aave. Diante disso, Egorov vendeu CRV por meio da OTC em troca de recursos para quitar o empréstimo.

Desde que a venda OTC começou em 1º de agosto, até 6 de agosto, Egorov vendeu 142,65 milhões de CRVs para 30 investidores/instituições em troca de US$ 57,06 milhões.

Em 6 de agosto, a Egorov ainda hipotecava 269,8 milhões de CRV (aproximadamente US$ 166 milhões) em quatro plataformas, com uma escala de dívida de aproximadamente US$ 48,7 milhões.

Atacante devolve fundos

Em 30 de julho, o explorador coffeebabe.eth devolveu 786 ETH (US$ 1,45 milhão) e 955 smETH (US$ 1,74 milhão) ao Metronome e 2.879 ETH (US$ 5,36 milhões) ao Curve Finance;

Em 3 de agosto, a Curve Foundation enviou uma mensagem on-chain aos exploradores, oferecendo 10% dos fundos roubados como recompensa se o invasor devolver os 90% restantes até 6 de agosto às 8h (UTC);

Em 4 de agosto, o invasor 0x6ec devolveu 5495 WETH (US$ 10 milhões) para JPEG e manteve 610 ETH (US$ 1,1 milhão) como recompensa de 10%; o invasor 0xdce retornou 2258 ETH (US$ 415 milhões) e 4820 alETH (US$ 8,82 milhões) ;

Em 5 de agosto, 0xdce devolveu 4.999 ETH (US$ 9,18 milhões) à AlchemixFi, todos devolvidos;

Em 6 de agosto, 32% dos bens roubados (aproximadamente US$ 18,7 milhões) ainda não haviam sido devolvidos:

• 80 ETH (US$ 14.700) da MetronomeDAO (custodial em coffeebabe.eth);
• 7.681 ETH (US$ 14,4 milhões) e 7,19 milhões de CRV (US$ 4,43 milhões) do pool de CRV-ETH.

No momento desta publicação, dos US$ 59,5 milhões roubados no exploit Curve Finance Vyper, cerca de US$ 40,3 milhões foram devolvidos, US$ 560.000 foram usados como recompensa por hackers e cerca de US$ 18,7 milhões não foram devolvidos pelos exploradores de CRV/ETH (0xb752 . …b324).

Em 7 de agosto, a Curve Finance twittou que o prazo para os invasores de vulnerabilidade CRV/ETH devolverem fundos voluntariamente já passou, e uma recompensa será fornecida para quem fornecer informações que levem à prisão e condenação de hackers (atualmente US$ 1,85 milhão).

Além disso, o Odaily Planet Daily lembrou especificamente que algumas contas no X (Twitter) pareceram recentemente fingir ser oficiais do Curve, e contas fraudulentas são frequentemente marcadas com marcas azuis ou amarelas, portanto, precauções devem ser tomadas.