Sau khi quá hạn để hacker thỏa thuận trả tiền và nhận thưởng 10%, Curve Finance đã quyết định treo thưởng cho cả cộng đồng cùng truy tìm.
Theo thông báo đăng tải rạng sáng ngày 07/08, đội ngũ Curve Finance tuyên bố sẽ trao thưởng 1,85 triệu USD cho bất kỳ ai có thể truy lùng và vạch mặt kẻ đứng sau vụ tấn công pool CRV-ETH vào hôm 31/07, lấy đi khoảng 18,5 triệu USD dưới dạng CRV và WETH.
Vụ tấn công Curve bắt đầu vào tối ngày 30/07, khi lỗ hổng đối với các pool thanh khoản Curve Finance sử dụng ngôn ngữ Vyper đã tạo điều kiện cho các hacker tấn công. Các dự án thiệt hại gồm:
- JPEG’d – xấp xỉ 11 triệu USD
- Metronome – xấp xỉ 1,6 triệu USD
- Alchemix – 20,6 triệu USD + 11 triệu USD (đã được hacker mũ trắng hoàn trả)
- Pool CRV-ETH – 19 triệu USD đang được hacker chiếm giữ + 5,3 triệu USD được hacker mũ trắng coffeebabe.eth hoàn trả
Ban đầu, Curve đã đưa ra giao kèo cho phép hacker các vụ tấn công pool trên Curve hoàn tiền và được giữ lại 10% lượng tài sản đã lấy cắp làm bug bounty. Trong hai ngày 04/08 và 05/08, những kẻ đã tham gia bòn rút tiền từ các pool của JPEG’d và Alchemix trên Curve đã trả lại số tiền lấy cắp, với tổng giá trị là khoảng 30 triệu USD.
Tuy nhiên, vẫn còn ít nhất hai hacker tham gia bòn rút tiền từ pool Metronome và CRV-ETH vẫn chưa trả tiền, với tổng giá trị là hơn 20 triệu USD.
Đội ngũ Curve đã gửi thông điệp sau đến đích danh địa chỉ ví của hacker CRV-ETH:
- “Đã qua hạn chót để tự nguyện trả lại tiền cho Curve là 03:00 PM (ngày 06/08, giờ Việt Nam). Chúng tôi giờ đây sẽ mở thưởng cho cả cộng đồng, với giá trị là 10% số tiền bị lấy (trị giá hiện là 1,85 triệu USD) cho ai vạch mặt được kẻ tấn công và khiến hắn bị truy tố trước tòa án.
- Nếu giờ hacker trả lại toàn bộ tiền, yêu cầu truy tố sẽ bị thu hồi.”
Trong diễn biến liên quan, hacker tấn công pool Alchemix tuy có trả tiền nhưng vẫn cố để lại lời đe dọa:
- “Tôi muốn làm rõ rằng tôi trả tiền cho dự án không phải vì các người có thể tìm được tôi, mà là bởi tôi không muốn hủy hoại dự án của các người. Đây là một số tiền lớn với nhiều người, nhưng không phải đối với tôi. Tôi thông minh hơn tất cả các người.”
Trong quá khứ, đã có nhiều vụ tấn công DeFi mà sau đó hacker tự nguyện trả lại toàn bộ tiền vì không muốn bị truy tổ hình sự, đơn cử có thể kể đến Poly Network (611 triệu USD – tháng 08/2021), Optimism (20 triệu USD – tháng 06/2022), Mango Markets (tháng 10/2022 – 114 triệu USD), Euler Finance (tháng 03/2023 – 197 triệu USD),…
Song, không phải ai cũng làm vậy. Đó là lý do mà mới đây, nền tảng trao đổi dữ liệu on-chain Arkham Intelligence đã treo thưởng 46.000 USD cho ai tìm được tung tích hacker tấn công FTX vào tháng 11/2022, chỉ ít giờ sau khi nền tảng này phá sản, lấy cắp số tiền lên đến hơn 300 triệu USD.