Несколько миллионов токенов Curve DAO (CRV) были похищены из пула проекта вечером в воскресенье. В это же время участники проекта готовились вывести уязвимые активы в безопасные кошельки, однако опоздали всего на несколько минут.
По текущим оценкам, хакеры похитили 7 млн токенов CRV и $14 млн в токенах Wrapped Ethereum (WETH). Согласно компании BlockSec, кошелек злоумышленников предварительно был пополнен переводом с биржи Binance.
Curve Finance представляет собой децентрализованную биржу для обмена стейблкоинов и предлагает множество пулов с различными токенами. Эти пулы оказались уязвимы из-за бага в более ранней версии языка программирования Vyper. Перед взломом пула CRV активы из части других пулов, включая JPEGd, Metronome и Alchemix, были выведены в отдельные кошельки.
По подсчетам BlockSec, в общей сложности были перемещены активы на $41 млн. Согласно сообщению в Discord-канале Curve, все уязвимые пулы к настоящему моменту были опустошены: активы из них были либо переведены в безопасные кошельки, либо украдены.
Цена токена CRV показывала резкое снижение в течение последних суток дважды. В первый раз она опустилась от $0,73 до $0,70 на фоне перемещения активов, а вскоре после атаки упала ниже $0,60.
Как отмечает The Block, кошелек, связанный с основателем Curve Finance Михаилом Егоровым, имеет крупную позицию на платформе DeFi-кредитования Aave, которая обеспечена токенами CRV. Владелец кошелька занял около $60 млн в стейблкоинах под залог $180 млн в CRV. В случае дальнейшего падения цены CRV к отметке $0,40 данная позиция рискует быть ликвидированной. Владелец кошелька уже совершил действия для снижения риска ликвидации.
