La piattaforma di finanza decentralizzata (DeFi) Curve Finance ha dichiarato di voler rimborsare gli utenti colpiti dal recente attacco hacker, che ha causato perdite per 62 milioni di dollari. 

Come spiegato su X (ex Twitter) dall'account ufficiale del progetto, le indagini stanno dando i loro frutti: il 70% dei fondi è già stato recuperato con successo.

"Rapido aggiornamento post-hack.

Sebbene il 70% dei fondi rubati tramite l'hack della scorsa settimana sia stato recuperato, sono attualmente in corso delle indagini per recuperare il resto.

Nel frattempo, siamo a lavoro per calcolare le rispettive quote di ogni utente colpito, con l'obiettivo di una corretta distribuzione."

L'entità dietro l'hack del 30 luglio ha sfruttato alcune vulnerabilità presenti nella release history del compiler Vyper di Curve Finance: in particolare, ha diretto il suo attacco verso le versioni da 0.2.15 a 0.3.0 del compiler.

Identificare queste vulnerabilità non deve essere stato semplice. Uno dei collaboratori di Viper ha affermato che l'attacco è stato probabilmente pianificato per settimane prima dell'esecuzione. Tra i pool presi di mira vi erano CRV/ETH, alETH/ETH, msETH/ETH e pETH/ETH. Inoltre, si teme che anche il pool tri-crypto di Arbitrum possa contenere delle vulnerabilità.

L'incidente ha avuto ripercussioni sull'intero ecosistema DeFi. Un esame completo dell'attacco ha evidenziato un grosso problema di questa industria: vi è un'assenza di incentivi adeguati per identificare vulnerabilità nelle precedenti iterazioni del software.

Il bounty del 10% è stato esteso all'individuo responsabile dell'hack, il quale ha accettato l'offerta e iniziato a restituire i fondi. Secondo i dati di Etherscan, attualmente il valore totale dei fondi restituiti ammonta a 4.821 Ether (ETH).