La piattaforma di prestiti Alchemix ha annunciato la restituzione di tutti i fondi rubati dall’hacker di Curve Finance.
We are extremely happy to announce that all funds stolen by the hacker of the Alchemix @CurveFinance pool have now been returned.
— Alchemix (@AlchemixFi) August 5, 2023
Full post mortem coming.
L’exploit
L’attacco ha avuto luogo il 30 luglio e ha portato al drenaggio di oltre 61 milioni di dollari in criptovalute, tra cui 13,6 milioni di dollari dal pool alETH-ETH di Alchemix. Oltre ad Alchemix, il pool pETH-ETH di JPEGd ha visto deflussi per 11,4 milioni di dollari e il pool sETH-ETH di Metronome è stato prosciugato per oltre 1,6 milioni di dollari. L’hacker ha preso di mira i pool stabili di Curve Finance utilizzando versioni vulnerabili del linguaggio di programmazione Vyper attraverso attacchi di tipo reentrancy.
La restituzione
La restituzione dei fondi è iniziata dopo che l’hacker ha accettato un’offerta di bug bounty. Curve, Metronome e Alchemix avevano annunciato congiuntamente un’iniziativa per recuperare i fondi rubati il 3 agosto, offrendo come ricompensa il 10% dei fondi sequestrati ed esortando i responsabili dell’exploit a restituire il restante 90%, che porterebbe la taglia a quasi 7 milioni di dollari.
Secondo i dati della catena, l’aggressore del protocollo Curve ha iniziato a restituire parte dei fondi rubati ad Alchemix Finance, che aveva subito il furto di 13,66 milioni di dollari dal suo pool di alETH-ETH. Dopo una transazione di prova di 1 alETH, il ladro ha trasferito 1.000 alETH (1,66 milioni di dollari) e 3.820 alETH attraverso un’altra transazione (6,67 milioni di dollari). Dopo un’altra transazione di prova di 1 alETH, ha infine inviato 1.000 (1,84 milioni di dollari) e poi 1.258 ETH (2,32 milioni di dollari) al protocollo Alchemix Finance. In totale, il ladro ha inviato 12,487 milioni di dollari ad Alchemix.
Il messaggio
In una delle sue transazioni, il ladro ha inserito un messaggio piuttosto sorprendente, affermando che non gli importava del denaro (Alchemix aveva promesso una ricompensa equivalente al 10% dei fondi rubati se l’aggressore avesse restituito il denaro) ma che semplicemente non voleva “rovinare il progetto”:
“Ho visto alcune opinioni ridicole, quindi voglio chiarire che vi sto ripagando non perché possiate trovarmi, ma perché non voglio rovinare il vostro progetto, può essere un sacco di soldi per molte persone, ma non per me, sono più intelligente di tutti voi, m*rde!”.
Anche il protocollo di token non fungibili JPEG’d è stato rimborsato, confermando che 5.495 Ether sono stati restituiti dall’hacker. Come parte dell’offerta di taglie, il protocollo non intraprenderà azioni legali contro i responsabili. “Qualsiasi ulteriore indagine o questione legale contro l’entità terminerà. Consideriamo questo evento come un salvataggio di tipo white-hat”, ha dichiarato il team di JPEG’d.
Il commento
Sul sito www.criptopolitan.com è stato scritto un commento sulla vicenda nel quale viene sottolineato che la decisione di restituire i fondi non è stata presa per paura di essere scoperti, ma piuttosto per la preoccupazione di non cancellare i progetti e ci si pone la domanda se questo possa essere considerato un atto nobile. Si deve por mente al fatto, viene scritto, che sebbene questo evento si sia risolto in modo piuttosto felice per Curve Finance e le altre entità coinvolte, è essenziale riconoscere le vulnerabilità evidenti della crittografia e viene puntualizzato che la lezione da trarre che “la DeFi deve alzare il tiro. Non si è trattato di beneficenza o di un cavaliere dall’armatura scintillante che salva la donzella in difficoltà. Si è trattato di una decisione calcolata da parte di un individuo o di un gruppo che ha ritenuto più redditizio restituire il denaro piuttosto che continuare a usarlo”.
