Başlıklar
30 Temmuz Curve Finance saldırısının arkasındaki saldırgan, istismar ettikleri protokolleri “mahvetmek” istemediklerini iddia ederek 8,9 milyon dolarlık boşaltılan fonları iade etti.
61 milyon dolarlık 30 Temmuz Curve Finance saldırısının arkasındaki saldırgan, Alchemix Finance ekibine yaklaşık 8.889.118 $ değerindeki 4.820,55 Alchemix ETH’yi (alETH) ve Curve Finance ekibine yaklaşık 1.844 $ olan 1 ETH’yi iade etti. Curve’deki Alchemix Finance protokolü alETH-ETH havuzu, başlangıçta yararlanılan havuzlardan biridir.
Curve Finance protokolü, 30 Temmuz’da bir yeniden giriş hatası yoluyla saldırıya uğradı ve saldırıda 61 milyon doların üzerinde kripto para kaybedildi. İstismar, Alchemix Finance alETH-ETH, JPEG’d pETH-ETH ve Metronome sETH-ETH havuzlarını etkiledi. Özellikle JPEG’li havuz, madenci ayıklanabilir değer (MEV) botu tarafından yönetildi ve saldırıdan elde edilen gelirin saldırgan yerine bota gitmesine neden oldu. Acil mutisig, etkilenen havuzlar için tüm ödülleri 2 Ağustos’ta askıya aldı.
Açıktan yararlanma için toplam kayıpların başlangıçta 47 milyon dolar olduğu tahmin ediliyordu, ancak daha sonra 61,7 milyon dolar olarak güncellendi .
4 Ağustos 15:45 UTC’de saldırgan, Ethereum ağında 15:45 UTC’de kendilerine bir mesaj gönderdi. Mesaj, Alchemix ve Curve geliştirme ekiplerine yönelik gibi görünüyor. İçinde saldırgan, fonları iade edeceklerini iddia etti, ancak yalnızca ilgili projeleri “mahvetmek” istemedikleri için ve saldırgan yakalandığı için değil.
11:16 am UTC’de saldırgan, Curve Finance konuşlandırıcı hesabına 1 alETH iade etti. Yaklaşık iki saat sonra, tümü Alchemix geliştirme ekibi multisig cüzdanına gönderilen toplam 4.820,55 alETH’ye ulaşan üç ayrı transfer gerçekleştirdiler.
Toplam iade edilen fonların toplamı yaklaşık 8,9 milyon dolar değerinde kripto para birimidir. İlk saldırı 61 milyon doları aştığı için, bu iade edilen fonlar, çekilen toplam miktarın yaklaşık %15’ini temsil ediyor. Ancak, bazı fonlar başka adreslere taşınmış olabilir ve ayrı işlemlerde iade edilebilir.
JPEG’li havuz saldırısını yöneten MEV botu da fonları iade etmeye çalışıyor olabilir. Fonları ayrı bir adrese aktardıktan sonra, 06:47 UTC’de sahibinin geliştiricilerle e-posta yoluyla pazarlık yapmaya çalıştığını ima eden bir mesaj yayınladı.
Ancak bottan gelen fonlar şu ana kadar herhangi bir doğrulanabilir geliştirici hesabına iade edilmedi.