Сообщество протокола децентрализованных финансов Curve Finance проголосовало в пользу выплат участникам взломанных в июле пулов ликвидности — им будет выплачено $49,2 млн.

Взлом Curve Finance произошел 30 июля, а в августе злоумышленники вернули часть средств. Были взломаны пулы ликвидности Curve (CRV), JPEG’d (JPEG), Alchemix (ALCX) и Metronome (MET). Общая сумма убытков составила $61,7 млн, однако хакеры вернули около $10 млн. За возмещение потерь пострадавшим пользователям выступило около 94% владельцев токенов CRV.

«Хотя украденные средства в каждом пуле были полностью, либо частично возвращены, в пулах остался дефицит ликвидности и это предложение должно исправить ситуацию, а также вернуть полную сумму убытков затронутым взломом пользователям», ― отмечается в принятом предложении проекта.

Для взлома хакеры использовали уязвимость в некоторых версиях языка программирования Vyper, который часто используется для взаимодействия с Виртуальной машиной Эфириума (EVM). Версии Vyper 0.2.15, 0.2.16 и 0.3.0 оказались уязвимыми для атак с повторяющейся транзакцией.

В конце ноября хакерской атаке подвергся торговый протокол Velodrome Finance в экосистеме Optimism. Разработчикам пришлось приостановить работу проекта до исправления уязвимости.