Несколько пулов на Curve Finance были взломаны, в результате чего хакерам удалось вывести более $47 млн из различных DeFi-проектов. Котировки Curve DAO (CRV) начали снижаться. В попытке спасти ликвидность токена Михаил Егоров устроил распродажу актива, вызвав ряд вопросов в отношении использования CRV в личных целях.
DeFi-платформа Curve Finance подверглась атаке хакеров. 30 июля несколько пулов, использующих язык программирования Vyper, были скомпрометированы. Согласно сообщению команды в X, уязвимыми оказались версии Vyper 0.2.15, 0.2.16 и 0.3.0.
Согласно данным аналитиков Ancilia, в общей сложности было затронуто почти 500 смарт-контрактов, использующих уязвимые версии Vyper. Хакерам удалось опустошить пулы благодаря ошибке в защите от повторного входа. Атака затронула четыре пула ликвидности:
- aETH/ETH;
- msETH/ETH;
- pETH/ETH;
- CRV/ETH.
По мнению аналитиков из аудиторской компании BlockSec, в случае повторной эксплуатации под удар могут попасть все пулы с Wrapped Ethereum (WETH).
В результате атаки хакерам удалось украсть более $47 млн в криптовалюте. По удар попали сразу несколько DeFi-протоколов, участвовавших в уязвленных пулах. Так, команда Ellipsis сообщила, что несколько пулов DEX с BNB были взломаны и эксплуататоры вывели около 283 WBNB. Также стало известно, что протокол Alchemix Finance потерял из-за атаки порядка $13,6 млн, NFT-проект JPEG’d — около $11,4 млн, а DeFi-протокол Metronome — порядка $1,6 млн. Из своп-пула Curve было выведено более $22 млн в CRV.
Котировки CRV отреагировали на событие резким падением. Согласно данным CoinGecko, цена токена за несколько часов после инцидента снизилась на 15%. В течение последующих нескольких суток котировки CRV продолжили падение. Так, 1 августа цена токена достигла $0,48 — минимума за последние семь месяцев.
Значительное влияние на стоимость токена оказали новости, связанные с долговыми обязательствами Михаила Егорова, основателя Curve Finance. Аналитики Delphi Digital сообщили в X, что Егоров использовал порядка 427,5 млн CRV для получения кредитов через различные DeFi-протоколы на сумму $100 млн. Стоит отметить, что заложенное количество CRV составляет около 47% от общего объема токенов Curve DAO, находящихся в обращении.
Так, Егоров заблокировал 305 млн CRV на Aave для получения $63,2 млн в USDT, и 59 млн CRV на Frax Finance для поддержания займа на 15,8 млн FRAX. В связи с падением котировок CRV снижается и ликвидность токена, поэтому оба займа оказались после атаки на Curve Finance под угрозой ликвидации.
Осознавая риски для экосистемы, Егоров выплатил 4 млн FRAX, что смогло повысить ликвидность CRV лишь на время, поскольку пользователи моментально начали вывод. Для борьбы с этой ситуацией Егоров принял решение продать CRV «со скидкой». Согласно данным Lookonchain, он продал 39,25 млн CRV по цене чуть выше $0,4 за токен, получив за них $15,8 млн. В общей сложности по заниженной цене Егоров продал более 50 млн CRV. Среди инвесторов, готовых приобрести токен с дисконтом, оказались основатель Tron Джастин Сан, предприниматель Джеффри Хуанг и инвестиционная компания DWF Labs. Благодаря «распродаже», как сообщает DeBank, Егорову удалось сократить кредит на Aave до $54,2 млн.
Однако криптосообщество не оценило «спасательную операцию» основателя Curve Finance, выразив недоверие к тем инвесторам, которые теперь владеют большим количеством CRV. В криптосообществе Егорова даже сравнили с Сэмом Бэнкман-Фридом, который использовал токены FTT в качестве залога. Некоторые члены сообщества выразили опасение, что действия Егорова станут «очередным позором для отрасли» и будут иметь негативные последствиях для всего рынка, поскольку оттолкнут инвесторов от DeFi.
Несмотря на всю критику, DeFi-сообщество стремится помочь CRV после атаки. Так, этическому хакеру удалось вернуть чуть больше 2879 ETH (~$5,4 млн) обратно в протокол Curve Finance. Для этого белая шляпа использовал front-running bot против хакера.
Напомним, во втором квартале текущего года хакерам удалось украсть более $313 млн в криптовалюте. В целом за первые полгода хакерами было украдено криптовалют на $656 млн, из которых активы на $215 млн были возвращены пользователям.