مهاجم پس از قبول پاداش 7 میلیون دلاری، شروع به بازگرداندن وجوه دزدیده شده کرد.
پلتفرم وام دهی Alchemix از بازگشت تمامی وجوه دزدیده شده توسط هکر Curve Finance خبر داده است. این حمله در 30 ژوئیه رخ داد و منجر به تخلیه بیش از 61 میلیون دلار ارزهای دیجیتال، از جمله 13.6 میلیون دلار از استخر alETH-ETH Alchemix شد.
همراه با Alchemix، استخر pETH-ETH JPEGd شاهد خروجی 11.4 میلیون دلاری بود و استخر seTH-ETH مترونوم بیش از 1.6 میلیون دلار تخلیه شد. این هکر با استفاده از نسخههای آسیبپذیر زبان برنامهنویسی Vyper از طریق حملات ورود مجدد، استخرهای پایدار را در Curve Finance هدف قرار داد.
بازگشت وجوه پس از پذیرفتن پیشنهاد پاداش باگ توسط هکر آغاز شد. Curve، Metronome و Alchemix به طور مشترک در 3 آگوست ابتکاری را برای بازیابی وجوه دزدیده شده اعلام کردند و 10٪ جایزه از وجوه ضبط شده را به عنوان پاداش ارائه کردند و از مسئولان این سوء استفاده خواستند تا 90٪ باقیمانده را بازگردانند که باعث بسته شدن جایزه می شود. به 7 میلیون دلار رسید.
در کمتر از 24 ساعت پس از پیشنهاد، مهاجم اصلی شروع به بازگرداندن وجوه دزدیده شده چند روز قبل کرد، در ابتدا 4820.55 Alchemix ETH (alETH) را قبل از تکمیل تراکنش در 5 آگوست به تیم Alchemix Finance پس فرستاد.
مهاجم پیامی را ارسال کرد که به نظر میرسد به تیمهای Alchemix و Curve ارسال شده بود و ادعا میکرد که مایل به بازگرداندن وجوه است اما فقط به این دلیل که شخص نمیخواست پروژههای درگیر را «ویران کند».
در پیام زنجیره ای آمده است: “من پول را پس می دهم نه به این دلیل که می توانید من را پیدا کنید، بلکه به این دلیل است که نمی خواهم پروژه شما را خراب کنم.”
پروتکل توکن غیرقابل تغییر JPEG’d نیز بازپرداخت شده است و تأیید می کند که 5495 اتر توسط هکر بازگردانده شده است . به عنوان بخشی از پیشنهاد جایزه، پروتکل اقدام قانونی علیه عاملان انجام نخواهد داد.
«هر گونه تحقیقات بیشتر یا موارد قانونی علیه این نهاد پایان خواهد یافت. تیم JPEG’d اظهار داشت: ما این اتفاق را به عنوان یک نجات کلاه سفید می بینیم.
