Curve-hacker achter de overval van $61 miljoen begint geld terug te sturen

Op 30 juli heeft de persoon die verantwoordelijk was voor de aanval op Curve Finance, waarbij $61 miljoen betrokken was, 4.820,55 Alchemix ETH (alETH) ter waarde van ongeveer $8.889.118 teruggegeven aan het Alchemix Finance-team.

Daarnaast heeft deze persoon ook 1 Ethereum (ETH) ter waarde van ongeveer $1.844 teruggestort aan het Curve Finance-team. De alETH-ETH-pool van het Alchemix Finance-protocol, die oorspronkelijk een van de getroffen pools was, werd gebruikt in deze gebeurtenis.

Grote hack heeft plaatsgevonden

Op 30 juli vond er een aanval plaats op het Curve Finance-protocol als gevolg van een re-entrancy-bug, wat resulteerde in een verlies van meer dan $61 miljoen aan cryptocurrency. Deze kwetsbaarheid trof de Alchemix Finance alETH-ETH, JPEG’d pETH-ETH en Metronome sETH-ETH pools. Opmerkelijk is dat de JPEG’d-pool werd beheerd aan de frontend door een miner-extractable value (MEV)-bot. Dit leidde ertoe dat de opbrengsten van de aanval naar de bot gingen in plaats van naar de aanvaller zelf. Als reactie hierop heeft de multisignature-noodportemonnee op 2 augustus alle beloningen voor de getroffen pools opgeschort.

Aanvankelijk werden de geschatte totale verliezen als gevolg van deze aanval op $47 miljoen gesteld, maar later zijn deze cijfers bijgewerkt naar $61,7 miljoen.

Fondsen worden gedeeltelijk teruggestuurd

Op 4 augustus plaatste de aanvaller om 15:45 uur UTC een bericht op het Ethereum-netwerk dat ogenschijnlijk was gericht aan de ontwikkelingsteams van zowel Alchemix als Curve. In dit bericht stelde de aanvaller dat ze van plan waren het geld terug te geven, echter niet omdat ze waren opgepakt, maar omdat ze de betrokken projecten niet wilden “schaden”.

Om 11:16 uur UTC heeft de aanvaller 1 alETH teruggestuurd naar het implementatieaccount van Curve Finance. Ongeveer 2 uur later voerde de aanvaller drie afzonderlijke overboekingen uit, waarbij in totaal 4.820,55 alETH werd teruggestuurd. Deze bedragen werden allemaal overgemaakt naar de multisignature-wallet van het ontwikkelingsteam van Alchemix.

De totale teruggegeven fondsen vertegenwoordigen een bedrag van ongeveer $8,9 miljoen in cryptocurrency. Deze teruggave is significant lager dan het oorspronkelijke aanvalsbedrag van meer dan $61 miljoen, en komt neer op ongeveer 15% van het totaal onttrokken bedrag. Het is echter mogelijk dat sommige fondsen naar andere adressen zijn overgebracht en in afzonderlijke transacties kunnen worden gerestitueerd.

Mogelijk MEV-bot betrokken

Er bestaat ook de mogelijkheid dat de MEV-bot die betrokken was bij de aanval op de JPEG-pool, stappen onderneemt om geld terug te geven. Nadat het geld naar een apart adres was verplaatst, publiceerde de bot om 06:47 uur UTC een bericht dat suggereerde dat de eigenaar via e-mail met de ontwikkelaars aan het onderhandelen was.

Tot op heden is het geld van de bot als slot echter nog niet teruggeboekt naar een geverifieerd ontwikkelaarsaccount.