Cryptonews Altcoin News

Curve Finance: è caccia all’hacker con una taglia da 1,85 milioni di dollari

hacker

Autore

Marcello Bonti

Autore

Marcello Bonti Verified

Part of the Team Since

Dec 2022

Has Also Written

Profilo dell'autore

Ultimo aggiornamento:

Agosto 8, 2023

La piattaforma DeFi Curve Finance, che la scorsa settimana ha perso oltre 60 milioni di dollari a causa di un exploit, ha stanziato una taglia da 1,85 milioni di dollari per chiunque riuscirà a identificarne l’autore.

Con un tweet lunedì, Curve ha ricordato che i termini per la “restituzione volontaria dei fondi” violati sono scaduti. Cioè il termine entro cui il protocollo avrebbe concesso una ricompensa allo stesso hacker in cambio della restituzione dei token.

“Ora estendiamo la taglia al pubblico e offriamo una ricompensa pari al 10% dei fondi ancora sottratti (al momento 1,85 milioni di dollari) a chi è in grado di identificare l’autore della violazione così da procedere con una condanna in tribunale.”

The deadline for the CRV/ETH exploiter passeshttps://t.co/VphQ0bfYr2 pic.twitter.com/x8LP9Tx4rs

— Curve Finance (@CurveFinance) August 6, 2023

Il messaggio on chain aggiungeva inoltre: “se l’exploiter sceglierà di restituire i fondi per intero, non procederemo oltre nella questione”.

I termini della negoziazione

Dopo l’hacking, Curve aveva offerto all’anonimo hacker il 10% dei capitali sottratti in cambio della restituzione dell’intero patrimonio entro il 6 agosto. Altri protocolli colpiti, tra cui i lender Alchemix e NFT JPEGd, si erano uniti a Curve in questa offerta.

Per ribadire le buone intenzioni e spingere il ladro a restituire il malloppo, dalle piattaforme avevano garantito l’intenzione di non procedere con ulteriori azioni legali, a patto però di riottenere i propri capitali per intero.

Sono più sveglio di tutti voi

Lo stesso giorno in cui Curve ha stanziato il bounty, la taglia per la caccia all’hacker, l’exploiter ha restituito i fondi rubati su Alchemix e JPEGd e ha ricevuto in cambio una ricompensa del 10%.

L’hacker ha pubblicato on-chain l’indirizzo su cui sono stati depositati buona parte dei fondi rubati. L’account di analisi online PeckShieldAlert, ha confermato che il 73% dei fondi sottratti, circa 52,3 milioni di dollari, sono stati restituiti alle varie parti coinvolte.

We are extremely happy to announce that all funds stolen by the hacker of the Alchemix @CurveFinance pool have now been returned.

Full post mortem coming.

— Alchemix (@AlchemixFi) August 5, 2023

Prima di restituire i fondi ai team di Alchemix e Curve, l’hacker ha inviato un messaggio in cui afferma che la decisione di restituire i fondi non è stata spinta dalla paura di essere beccati, quanto dalla volontà di non danneggiare i progetti.

The JPEG'd DAO confirms receipt of 5,494.4 WETH back to the JPEG'd Multisig for a total of 5,495.4 WETH. A 10% white-hat bounty of 610.6 WETH was awarded to the owner of the address that recovered funds from the pETH exploit.https://t.co/nIBwHHxfQU

— JPEG'd (@JPEGd_69) August 4, 2023

“Voglio chiarire che vi sto risarcendo non perché potete trovarmi, ma perché non voglio rovinare il vostro progetto. Forse sono molti soldi per molte persone, ma non per me, sono più intelligente di tutti voi.”

A quanto pare la buona volontà dell’exploiter non è stata premiata. Mancano all’appello i fondi sottratti a Curve Finance, cosa che ha spinto il protocollo a lanciare il guanto della sfida e chiamare all’appello la community sulle tracce dei token scomparsi. A questo punto, il ladro rischia la denuncia alle autorità e le relative ripercussioni legali.

L’hacker responsabile della violazione sembra aver usato una tecnica detta reentrancy attack, cioè la ripetizione continua di una funzione in un contratto, causando un loop infinito e quindi accedere ai fondi. In questo modo ha attaccato le versioni più vulnerabili del linguaggio di programmazione degli smart contract Vyper per colpire i protocolli DeFi. Si tratta

___