La plateforme de prêt Alchemix a annoncé la restitution de tous les fonds volés par le pirate ayant attaqué Curve finance. L'attaque a eu lieu le 30 juillet et a permis de dérober plus de 61 millions de dollars en cryptomonnaies, dont 13,6 millions de dollars du pool alETH-ETH d'Alchemix.

Tout comme Alchemix, le pool pETH-ETH de JPEGd a perdu 11,4 millions de dollars, et le pool sETH-ETH de Metronome a été vidé de plus de 1,6 million de dollars. Le pirate a ciblé les pools de stablecoins de Curve Finance en utilisant des versions vulnérables du langage de programmation Vyper par le biais d'attaques de réentrance.

Nous sommes extrêmement heureux d'annoncer que tous les fonds volés par le pirate du pool Alchemix @CurveFinance ont été restitués. Un rapport post mortem complet sera bientôt disponible. - Alchemix (@AlchemixFi) 5 août 2023

La restitution des fonds a débuté après que le pirate a accepté une offre de bug bounty. Curve, Metronome et Alchemix ont annoncé conjointement une initiative visant à récupérer les fonds volés le 3 août, en offrant une prime de 10 % des fonds saisis en guise de récompense, et en exhortant les responsables du piratage à restituer les 90 % des fonds restants, ce qui porterait la prime à près de 7 millions de dollars.

À lire également : Piratage Curve-Vyper : Tout savoir sur le sujet jusqu'à présent

Moins de 24 heures après l'offre, l'attaquant initial a commencé à restituer les fonds volés quelques jours plus tôt, renvoyant initialement 4 820,55 Alchemix ETH (alETH) à l'équipe d'Alchemix Finance, avant de terminer la transaction le 5 août.

Le pirate a posté un message qui semble avoir été adressé aux équipes d'Alchemix et de Curve, affirmant qu'il était prêt à rembourser les fonds, mais uniquement parce qu'il ne voulait pas « ruiner » les projets concernés.

« Je vous rembourse non pas parce que vous pouvez me trouver, c'est parce que je ne veux pas ruiner votre projet. », peut-on lire dans le message on-chain.

Le protocole de token non fongible JPEG'd a également été remboursé, confirmant que 5 495 ethers ont été retournés par le pirate. Dans le cadre de l'offre de prime, le protocole ne prendra pas de mesures juridiques contre les auteurs.

« Toute enquête ou action en justice à l'encontre de l'entité prendra fin. Nous considérons cet événement comme un sauvetage de type white-hat. », a déclaré l'équipe de JPEG'd.