Curve Finance, un protocolo de finanzas descentralizadas (DeFi) en la blockchain de Ethereum que recientemente sufrió un devastador hackeo de $61 millones, ha anunciado una recompensa masiva de $1,85 millones para identificar al explotador de forma que pueda conducir a una condena al expirar el plazo para que el explotador devuelva los fondos robados.
El domingo 6 de Agosto, Curve Finance compartió un mensaje en la cadena anuncio la recompensa donde ofrecen 10% de los fondos restantes como recompensa, que asciende a $1,85 millones. El promotor también dijo que no seguiría adelante con el caso si el explotador devolvía la totalidad de los fondos.
El mensaje dice:
«El plazo para la devolución voluntaria de los fondos del exploit ocurrido en Curve expiró a las 0800 UTC. Ahora ampliamos la recompensa al público y ofrecemos una recompensa valorada en 10% de los fondos explotados restantes (actualmente $1,85M USD) a la persona que sea capaz de identificar al explotador de forma que conduzca a una condena en los tribunales. Si el explotador opta por devolver la totalidad de los fondos, no seguiremos adelante con este asunto.»
ATRÁPAME SI PUEDES DICE EL EXPLOITER A CURVE FINANCE
Previamente, Crypto Economy ha reportado, el 30 de Julio, que un hacker emboscó versiones vulnerables del lenguaje de programación Vyper para ejecutar ataques de reentrada contra los fondos estables de Curve Finance. El exploit afectaba a los pools Alchemix Finance alETH-ETH, JPEG’d pETH-ETH y Metronome sETH-ETH. La investigación posterior descubrió que el explotador o explotadores pudieron embolsarse $61 millones en el hackeo.
El 3 de Agosto, Curve Finance y otros protocolos afectados ofrecieron al hacker una recompensa por fallos de más de $6 millones de euros. El 4 de Agosto, el explotador devolvió más de $12 millones al equipo de Alchemix Finance. El domingo, Alchemix dijo que todos los fondos robados del fondo común de Alchemix habían sido devueltos.
El explotador también publicó un anuncio en Ethereum dirigido a Alchemix y Curve Finance, diciendo efectivamente, «atrápame si puedes». El mensaje dice:
«He visto algunas opiniones ridículas, así que quiero aclarar que te devuelvo el dinero no porque me encuentres, es porque no quiero arruinar tu proyecto, puede que sea mucho dinero para mucha gente, pero no para mí, soy más listo que todos los involucrados.»
El bot Minero de Valor Ejecutable (MEV) que dirigió el ataque al pool de JPEG’d envió luego los fondos al bot de Alchemix en lugar de al explotador también y también pareció haber devuelto los fondos.