Белому хакеру удалось забрать около 2879 ETH на сумму около 5,4 миллиона долларов у эксплойтера и вернуть их протоколу децентрализованных финансов (DeFi) Curve Finance во время недавнего взлома.
30 июля несколько пулов стейблкоинов на Curve Finance были взломаны из-за уязвимости в механизме блокировки повторного входа в нескольких версиях языка программирования Vyper. Убытки Curve Finance оцениваются примерно в 47 миллионов долларов. Тем не менее, протоколы DeFi, которые использовали уязвимые версии Vyper, также были взломаны, что подвергло экосистему DeFi стресс-тесту.
В тот же день этичный хакер перехватил часть украденных активов и вернул их Curve Finance. Оператор бота с максимальной извлекаемой стоимостью с именем пользователя «c0ffeebabe.eth» использовал бота опережения против злонамеренного хакера, чтобы получить почти 3000 ETH. Затем средства были возвращены на адрес развертывателя Curve, который, похоже, является их законным хранителем.
На фоне хаоса аккаунты в Твиттере, выдающие себя за Curve Finance, и жертвы взлома продвигают фальшивую схему возврата средств, нацеленную на тех, кто уже потерял свои средства в результате недавнего взлома. Официальный аккаунт Curve Finance на момент написания статьи не публиковал никаких планов по возврату средств.
Фейковый аккаунт Curve Finance, продвигающий поддельную схему возврата. Источник: Твиттер
Между тем, BNB Smart Chain подверглась подражательным атакам из-за уязвимости Vyper. Согласно данным, предоставленным компанией BlockSec, занимающейся безопасностью блокчейнов, около 73 000 долларов было украдено в результате трех эксплойтов.
Тем временем Комиссия по ценным бумагам и биржам США приняла новые правила раскрытия инфоормации об инцидентах кибербезопасности с участием публичных компаний в Соединенных Штатах. Правило требует, чтобы эти компании раскрывали кибератаку через четыре дня после того, как она была признана «существенной». Согласно SEC, правило также потребует периодической отчетности о политиках для выявления и управления рисками кибербезопасности.