هکر استخرهای Curve وجوه دزدیده شده را بازگرداند

مهاجم پلتفرم وام‌دهی Alchemix پس از پذیرفتن ۷ میلیون دلار جایزه کشف باگ، شروع به بازگرداندن وجوه دزدیده شده از استخرهای Curve کرد.

پلتفرم وام‌دهی Alchemix از بازگشت تمامی وجوه دزدیده شده توسط هکر Curve Finance خبر داده است. این حمله در ۳۰ جولای رخ داد و منجر به تخلیه بیش از ۶۱ میلیون دلار ارزهای دیجیتال از جمله ۱۳.۶ میلیون دلار از استخر alETH-ETH پروژه Alchemix شد.

همراه با Alchemix، استخر pETH-ETH پروژه JPEGd شاهد خروج ۱۱.۴ میلیون دلار بود و از استخر seTH-ETH پروژه Metronome بیش از ۱.۶ میلیون دلار تخلیه شد. این هکر با استفاده از نسخه‌های آسیب‌پذیر زبان برنامه‌نویسی Vyper از طریق حملات ورود مجدد، استخرهای پایدار را در Curve Finance هدف قرار داد.

بازگشت وجوه پس از پذیرفتن پیشنهاد پاداش کشف باگ توسط هکر آغاز شد. کرو فایننس، Metronome و Alchemix مشترکاً ایده‌ای را برای بازیابی وجوه دزدیده شده در ۳ آگوست ارائه دادند و ۱۰٪ از وجوه ضبط شده را به عنوان پاداش در نظر گرفتند. لازم به ذکر است که ارزش این پاداش به ۷ میلیون دلار می‌رسد.

در کمتر از ۲۴ ساعت پس از پیشنهاد، مهاجم اصلی شروع به بازگرداندن وجوه دزدیده شده کرد. در ابتدا ۴۸۲۰.۵۵ alETH را در ۵ آگوست به تیم Alchemix Finance پس دادند. مهاجم پیامی را ارسال کرد که به نظر می‌رسد به تیم‌های Alchemix و Curve ارسال شده بود و مدعی شد که مایل به بازگرداندن وجوه است و توضیح داد که قصد نابود کردن پروژه‌های درگیر را نداشته است. در پیامی که در زنجیره‌ ثبت شده، آمده است:

من پول را پس می‌دهم نه به این دلیل که می‌توانید من را پیدا کنید، بلکه به این دلیل که نمی‌خواهم پروژه شما را نابود کنم.

پروتکل توکن غیرقابل تعویض JPEGd نیز تأیید کرد که ۵۴۹۵ اتریوم توسط هکر بازگردانده شده است. به عنوان بخشی از پیشنهاد جایزه، پروتکل اقدام قانونی علیه عاملان این حمله انجام نخواهد داد. تیم JPEGd اعلام کرد:

هرگونه تحقیقات بیشتر یا موارد قانونی علیه عاملان این حمله پایان خواهد یافت. ما به این اتفاق به عنوان کمک یک هکر کلاه سفید نگاه می‌کنیم.