Согласно сообщению в социальных сетях от 2 августа члена руководящего органа протокола, протокол кредитования Curve Finance прекратил выдачу токенов управления для отдельных пулов ликвидности, затронутых эксплойтом Curve от 30 июля и эксплойтом Multichain от 6 июля.
Прекращение вознаграждения осуществлялось аварийной децентрализованной автономной организацией Curve (Curve E-DAO), комитетом, состоящим из избранных членов руководящего органа Curve DAO. Согласно объявлению, решение затронуло пулы для alETH+ETH, msETH-ETH, pETH-ETH, crvCRVETH, Arbitrum Tricrypto и multibtc3CRV. Решение может быть отменено в будущем полным голосованием Curve DAO.
6 июля криптовалюта на сумму более 100 миллионов долларов была снята с ряда мостов, которые были частью протокола Multichain. Команда Multichain заявила, что снятие средств было «ненормальным» и что пользователи должны прекратить использовать Multichain. В то время команда Curve предупредила своих пользователей, чтобы они «выходили из мультичейн-активов, таких как multiBTC (включая пул)», подразумевая, что их собственный пул ликвидности multibtc3CRV подвергается риску из-за инцидента с Multichain.
14 июля команда Multichain заявила, что снятие средств было произведено неизвестным лицом, получившим доступ к учетной записи облачных вычислений ее генерального директора, подразумевая, что средства были украдены и никогда не будут возвращены.
30 июля уже Curve Finance стала жертвой атаки повторного входа. В ходе эксплойта было потеряно криптовалют на сумму более 47 миллионов долларов. Атака затронула пулы alETH, msETH и pETH, поскольку они были созданы с использованием протокола Vyper, содержащего уязвимость. Другие пулы Curve, созданные не через Vyper, не пострадали. Однако уязвимость Vyper привела к подражательным атакам во всей экосистеме DeFi, где использовалась небезопасная версия протокола. В частности сообщается, что протоколы DeFi на BNB Smart Chain потеряли $73 тыс в ходе аналогичных атак.
Несмотря на эти эксплойты, затронутые пулы по-прежнему приносили вознаграждение в виде токенов управления Curve Finance (CRV). Это означало, что пользователи по-прежнему могли вносить свои токены в пулы, чтобы заработать CRV. В объявлении от 8 августа Шапиро заявил, что аварийный DAO теперь удалил эти вознаграждения, чтобы «избежать стимулирования дальнейшего участия в этих скомпрометированных пулах».
В июле и августе инвесторы продолжали страдать от взломов и мошенничества. 23 июля платежный провайдер Alphapo якобы потерял более 60 миллионов долларов из-за того, что злоумышленник получил доступ к закрытым ключам его горячего кошелька. Компания не подтвердила предполагаемую атаку, но сыщики в сети утверждают, что переводы являются ненормальными и, вероятно, являются результатом взлома. 25 июля платформа DeFi Era Lend на блокчейне, использующем zkSync, также была взломан за 3,4 миллиона долларов из-за ошибки повторного входа только для чтения.