Le pirate à l'origine du vol de 61 millions de dollars sur Curve Finance le 30 juillet a rendu 4 820,55 Alchemix ETH (alETH), d'une valeur approximative de 8 889 118 dollars, à l'équipe d'Alchemix Finance et 1 ether (ETH), d'une valeur approximative de 1 844 dollars, à l'équipe de Curve Finance. Le pool alETH-ETH du protocole Alchemix Finance sur Curve est l'un des pools qui a été attaqué à l'origine.

Nous avons reçu les fonds de test tx à 0x9e2b6378ee8ad2A4A95Fe481d63CAba8FB0EBBF9https://t.co/FZraob2wMq. - Alchemix (@AlchemixFi) 4 août 2023

Le protocole Curve Finance a été attaqué par un bug de réentrance le 30 juillet, et plus de 61 millions de dollars de cryptomonnaie ont été perdus dans l'attaque. Celle-ci a affecté les pools Alchemix Finance alETH-ETH, JPEG'd pETH-ETH et Metronome sETH-ETH. Le pool JPEG'd, en particulier, était dirigé par un bot MEV, de sorte que les recettes de l'attaque sont allées au robot plutôt qu'à l'auteur de l'attaque. Le 2 août, le portefeuille mutisig d'urgence a suspendu toutes les récompenses pour les pools concernés.

Les pertes totales liées au piratage ont d'abord été estimées à 47 millions de dollars, avant d'être portées à 61,7 millions de dollars.

Le 4 août, à 15 h 45 (UTC), le pirate a publié un message sur le réseau Ethereum, apparemment destiné aux équipes de développement d'Alchemix et de Curve. Dans ce message, il affirmait qu'il rendrait les fonds, mais uniquement parce qu'il ne voulait pas « ruiner » les projets concernés, et non parce qu'il s'était fait prendre.

À 11 h 16 UTC, le pirate a renvoyé 1 alETH sur le compte de déploiement de Curve Finance. Environ deux heures plus tard, il a effectué trois transferts distincts totalisant 4 820,55 alETH, qui ont tous été envoyés au portefeuille multisig de l'équipe de développement d'Alchemix.

À lire également : Curve, Metronome et Alchemix offrent une prime de 10 % pour le piratage de Vyper

Le total des fonds retournés s'élève à environ 8,9 millions de dollars en cryptomonnaie. Étant donné que l'attaque initiale portait sur plus de 61 millions de dollars, ces fonds restitués représentent environ 15 % du montant total dérobé. Toutefois, certains fonds peuvent avoir été déplacés vers d'autres adresses et être restitués dans le cadre de transactions distinctes.

Le bot MEV qui a lancé l'attaque du pool JPEG'd peut également chercher à restituer des fonds. Après avoir transféré les fonds vers une autre adresse, il a posté un message à 6h47 UTC qui laissait entendre que son propriétaire essayait de négocier avec les développeurs par courrier électronique.

Cependant, les fonds du bot n'ont pas encore été renvoyés sur un compte de développeur vérifiable.