Понедельник начинается в субботу.

Протокол ценен своей гибкостью настройки пулов обмена, сильным ДАО, а также известен по “Curve-wars” - созданию систем мотиваций от сторонних протоколов по управлению вознаграждением от предоставления ликвидности и эмиссией токена.

В общем,Curve проект знаковый, и как мы писали ранее, активно используется банками и крупными компаниями для тестирования собственных Dex-архитектур.

В целом, вышло довольно много новостей на эту тему, раскрывающие техническую сторону взлома. Остановимся на основных моментах:

1. Уязвимость была обнаружена заранее, о чем было сообщено одному из поставщиков ликвидности и партнеру проекта - команде Alchemix. Однако они не успели среагировать.
2. Пострадали пулы следующих проектов - Alchemix, Metronome DAO, Debridge, Ellipsis Fi, JPEGd, и Curve.

3. Пострадавшие пулы были сформированы с использованием синтетических версий эфир или нативных токенов, и ETH ( не WETH).

4. Атака стала возможна из-за ошибки в коде компилятора vyper который использовался при разработке протокола Curve.
Компиляция - процесс перевода исходного кода программы, написанного на языке более высокого уровня, в код на языке более низкого уровня или вообще в машинный код (ниже некуда). Скомпилировать - значит "провести компиляцию", обычно это делается с помощью специальной программы - компилятора.

5. По словам СЕО Curve Michael Egorov одним из авторов компилятора vyper, кстати, был Виталик Бутерин.

6. Баг был вскрыт в трех версия кода 0.2.15, 0.2.16 и 0.3.0.

7. Под угрозой находится довольно много пулов в других обменниках, по некоторым оценкам более 400, на разных блокчейнах.

8. Потери на данный момент выражены в ETH и CRV.

9. Сильного коллапса в цене CRV пока не случилось, “всего” -15% к прошлому дню.
10. Одна из транзакций хакера на 5м USD была возвращена с помощью MEW-бота, специального алгоритма для арбитража криптовалют. О них расскажем как нибудь отдельно - там большая интересная тема.

Последствия еще придется оценить более детально. Сейчас понятно, что, размер прямого ущерба ограничен, вопрос - как поведут себя пострадавшие проекты и как распорядится средствами хаке? На данный момент команда разработчиков работает над устранением совершения подобных атак в будущем. СЕО Curve Michael Egorov довольно оперативно и активно реагирует на сообщения пользователей в социальных сетях и сообщает, что все взломы уже случились, дальше будет проще.

Под ударом также токен AAVE - на площадке большой займ в стейбл коинах под залог токена CRV, который на данный момент в случае ликвидации (цена CRV опустится ниже 0.345) может быть реализован на рынке с очень значительным проскальзыванием и дисконтом. Упали в стоимости и токены связанных проектов - Convex и Frax, которые активно привлекают провайдеров ликвидности на curve через собственные интерфейсы, и чей доход завязан на долгосроный рост курса CRV.

Волатильность в торговле токеном CRV в ближайшее время будет довольно высокой. Опционов, отдельно от опционных хранилищ на токен не торгуется, так что хеджировать риски, если вы владелец токена, можно только через фьючерс, или займ, если есть такая возможность.