Tiếp tục giải quyết hậu quả của vụ tấn công hồi tháng 7, Curve DAO vừa thông qua đề xuất bồi thưởng 42 triệu USD token CRV cho các LP bị thiệt hại, phân bổ dần trong vòng 1 năm.
Vào ngày 30/07, lỗ hổng đối với các pool thanh khoản Curve Finance sử dụng ngôn ngữ Vyper đã tạo điều kiện cho các hacker tấn công. Các dự án thiệt hại gồm:
Ban đầu, Curve đã đưa ra giao kèo cho phép hacker các vụ tấn công pool trên Curve hoàn tiền và được giữ lại 10% lượng tài sản đã lấy cắp làm bug bounty. Trong hai ngày 04/08 và 05/08, những kẻ đã tham gia bòn rút tiền từ các pool của JPEG’d và Alchemix trên Curve đã trả lại số tiền lấy cắp, với tổng giá trị là khoảng 30 triệu USD.
Tuy nhiên, vẫn còn ít nhất hai hacker tham gia bòn rút tiền từ pool Metronome và CRV-ETH vẫn chưa trả tiền, với tổng giá trị là hơn 20 triệu USD.
Không đạt được thỏa thuận, Curve ra thưởng 1,85 triệu USD để vạch mặt hacker tấn công pool CRV-ETH.
Trong vụ tấn công này, người thiệt hại nhiều nhất chính là các bên cung cấp thanh khoản (liquidity provider - LP) bị rút cạn tiền vì tâm lý người dùng hoảng loạn. Ước tính đã có 1,5 tỷ USD tài sản bị rút ra khỏi các pool trên Curve, khiến LP bị thiếu hụt thanh khoản trầm trọng.
Chính vì vậy, Curve DAO đã bỏ phiếu thông qua đề xuất đền bù thiệt hại cho các LP bị cạn kiệt tiền. Với 94,6% phiếu thuận, cộng đồng đồng ý phân bổ số token CRV trị giá tương đương 44 triệu USD cho các bên bị thiệt hại.
Số CRV này được trích ra từ Quỹ cộng đồng của Curve DAO, vesting tuyến tính trong vòng 1 năm. Hay cụ thể hơn, mỗi ngày sẽ trao 196.626 CRV, hay 121.000 USD tính theo giá tại thời điểm đưa tin.
Giá token CRV không có nhiều biến động trong 24 giờ qua, hiện đang giao dịch quanh mức 0,6 USD.
Đồ thị 1H của cặp CRV/USDT trên sàn Binance vào lúc 12:30 PM ngày 23/12/2023
Vào ngày 30/07, lỗ hổng đối với các pool thanh khoản Curve Finance sử dụng ngôn ngữ Vyper đã tạo điều kiện cho các hacker tấn công. Các dự án thiệt hại gồm:
- JPEG'd - xấp xỉ 11 triệu USD
- Metronome - xấp xỉ 1,6 triệu USD
- Alchemix - 11 triệu USD (đã được hacker mũ trắng hoàn trả) + 20,6 triệu USD
- Pool CRV-ETH - 19 triệu USD đang được hacker chiếm giữ + 5,3 triệu USD được hacker mũ trắng coffeebabe.eth hoàn trả
Ban đầu, Curve đã đưa ra giao kèo cho phép hacker các vụ tấn công pool trên Curve hoàn tiền và được giữ lại 10% lượng tài sản đã lấy cắp làm bug bounty. Trong hai ngày 04/08 và 05/08, những kẻ đã tham gia bòn rút tiền từ các pool của JPEG’d và Alchemix trên Curve đã trả lại số tiền lấy cắp, với tổng giá trị là khoảng 30 triệu USD.
Tuy nhiên, vẫn còn ít nhất hai hacker tham gia bòn rút tiền từ pool Metronome và CRV-ETH vẫn chưa trả tiền, với tổng giá trị là hơn 20 triệu USD.
Không đạt được thỏa thuận, Curve ra thưởng 1,85 triệu USD để vạch mặt hacker tấn công pool CRV-ETH.
Trong vụ tấn công này, người thiệt hại nhiều nhất chính là các bên cung cấp thanh khoản (liquidity provider - LP) bị rút cạn tiền vì tâm lý người dùng hoảng loạn. Ước tính đã có 1,5 tỷ USD tài sản bị rút ra khỏi các pool trên Curve, khiến LP bị thiếu hụt thanh khoản trầm trọng.
Chính vì vậy, Curve DAO đã bỏ phiếu thông qua đề xuất đền bù thiệt hại cho các LP bị cạn kiệt tiền. Với 94,6% phiếu thuận, cộng đồng đồng ý phân bổ số token CRV trị giá tương đương 44 triệu USD cho các bên bị thiệt hại.
Số CRV này được trích ra từ Quỹ cộng đồng của Curve DAO, vesting tuyến tính trong vòng 1 năm. Hay cụ thể hơn, mỗi ngày sẽ trao 196.626 CRV, hay 121.000 USD tính theo giá tại thời điểm đưa tin.
Giá token CRV không có nhiều biến động trong 24 giờ qua, hiện đang giao dịch quanh mức 0,6 USD.
Đồ thị 1H của cặp CRV/USDT trên sàn Binance vào lúc 12:30 PM ngày 23/12/2023