Laut einem Social-Media-Beitrag eines Mitglieds des Leitungsgremiums des Protokolls vom 2. August hat das Curve Finance-Kreditprotokoll die Governance-Token-Belohnung für ausgewählte Liquiditätspools eingestellt, die vom Curve-Exploit am 30. Juli und dem Multichain-Exploit vom 6. Juli betroffen waren.
Die Beendigung der Belohnungen wurde von der dezentralen autonomen Notfallorganisation Curve (Curve E-DAO) durchgeführt, einem Ausschuss, der sich aus ausgewählten Mitgliedern des Curve DAO-Leitungsgremiums zusammensetzt. Der Ankündigung zufolge waren Pools für alETH+ETH, msETH-ETH, pETH-ETH, crvCRVETH, Arbitrum Tricrypto und multibtc3CRV betroffen. Die Entscheidung kann in Zukunft durch eine vollständige Abstimmung des Curve DAO außer Kraft gesetzt werden.
Die Änderung wurde von Curve E-DAO-Mitglied Gabriel Shapiro angekündigt.
ACHTUNG, VON EINEM CURVE E-DAO-UNTERZEICHNER:
Der @CurveFinance Emergency Multisig hat die CRV-Belohnungen (Messgeräte) für die Liquiditätspools eingestellt, die von den jüngsten Exploits betroffen waren, einschließlich der Pools, die vom jüngsten Vyper-Compiler-Exploit betroffen waren, und des MultiBTC-Pools, der von den jüngsten Exploits betroffen war.
— _gabrielShapir0 (@lex_node) 2. August 2023
Am 6. Juli wurden Kryptowährungen im Wert von über 100 Millionen US-Dollar von einer Reihe von Brücken abgezogen, die Teil des Multichain-Protokolls waren. Das Multichain-Team gab an, dass die Abhebungen „unnormal“ seien und dass Benutzer Multichain nicht mehr verwenden sollten. Damals das Curve-Team gewarnt seine Benutzer dazu aufgefordert, „Multichain-Assets wie multiBTC (einschließlich des Pools) zu verlassen“, was impliziert, dass sein eigener multibtc3CRV-Liquiditätspool durch den Multichain-Vorfall gefährdet war.
Am 14. Juli gab das Multichain-Team an, dass die Abhebungen von einer unbekannten Person verursacht worden seien, die sich Zugriff auf das Cloud-Computing-Konto des CEO verschafft hatte, was darauf hindeutet, dass die Gelder ausgenutzt wurden und möglicherweise nie zurückgegeben werden.
Am 30. Juli wurde Curve Finance selbst Opfer eines Wiedereintrittsangriffs. Durch den Exploit gingen Kryptowährungen im Wert von über 47 Millionen US-Dollar verloren. Der Angriff betraf die Pools alETH, msETH und pETH, da diese mithilfe des Vyper-Protokolls erstellt wurden, das die Schwachstelle enthielt. Andere Curve-Pools, die nicht über Vyper erstellt wurden, waren davon nicht betroffen.
Verwandt: Hacker kompromittieren den Twitter-Account des Uniswap-Gründers, um Betrug zu fördern
Trotz dieser Exploits produzierten die betroffenen Pools immer noch Curve DAO (CRV)-Governance-Token-Belohnungen. Dies bedeutete, dass Benutzer ihre Token weiterhin in die Pools einzahlen konnten, um CRV zu verdienen. In der Ankündigung vom 8. August erklärte Shapiro, dass die Notfall-DAO diese Belohnungen nun entfernt habe, um „keine Anreize für eine weitere Teilnahme an diesen kompromittierten Pools zu schaffen“.
Im Juli und August litten Anleger weiterhin unter Hacks und Betrügereien. Berichten zufolge hat der Zahlungsanbieter Alphapo am 23. Juli über 60 Millionen US-Dollar verloren, weil ein Angreifer Zugriff auf die privaten Schlüssel seiner Hot-Wallet erlangte. Das Unternehmen hat den mutmaßlichen Angriff nicht bestätigt, aber Experten in der Kette haben argumentiert, dass die Übertragungen abnormal seien und wahrscheinlich das Ergebnis eines Hacks seien. Am 25. Juli wurde zkSync aufgrund eines Read-Only-Reentrancy-Fehlers ebenfalls für 3,4 Millionen US-Dollar ausgenutzt.