Компания Curio, занимающаяся ликвидностью реальных активов (RWA), подверглась эксплоиту смарт-контракта. Злоумышленник использовал критическую уязвимость, связанную с правом голоса, что позволило ему украсть цифровые активы на сумму 16 миллионов долларов.
Curio предупредил свое сообщество об уязвимости и подчеркнул, что решает ситуацию. Компания заявила, что смарт-контракт на основе MakerDAO, используемый в Curio, был взломан.
Однако компания заверила своих пользователей, что эксплоит затронул только сторону Ethereum и что все контракты Polkadot и Curio Chain остаются в безопасности.
Компания безопасности Web3 Cyvers подсчитала, что убытки от эксплоита составляют около 16 миллионов долларов. В сообщении Cyvers Alerts говорится, что эксплоит связан с «уязвимостью логики доступа к разрешениям».
Источник: Cyvers Alerts.
25 марта Curio опубликовал вскрытие эксплоита и план компенсации пострадавшим пользователям. В отчете Curio подчеркнул, что проблема заключалась в недостатке контроля доступа к праву голоса.
При этом злоумышленник приобрел небольшое количество токенов Curio Governance (CGT), что позволило ему получить доступ и повысить свое право голоса в смарт-контракте проекта.
Обладая повышенным правом голоса, злоумышленник выполнил ряд шагов, которые в конечном итоге позволили ему выполнить произвольные действия в рамках контракта Curio DAO. Это привело к несанкционированному минтингу 1 миллиарда CGT.
В отчете Curio говорится, что все средства, пострадавшие от эксплоита, будут возвращены. Команда заявила, что выпустит новый токен под названием CGT 2.0. С помощью нового токена команда пообещала восстановить 100% средств держателей CGT.
Что касается поставщиков ликвидности, Curio заявила, что проведет программу компенсации. Команда заявила, что выплаты будут осуществляться в четыре этапа, каждый из которых продлится 90 дней. Это может означать, что полная программа выплат может растянуться на год.
«Компенсационная программа будет состоять из 4 последовательных этапов, каждый продолжительностью 90 дней. На каждом этапе: компенсация будет выплачиваться в USDC/USDT в размере 25% от убытков, понесенных вторым токеном в пулах ликвидности», – говорится в сообщении Curio.
Компания также заявила, что вознаградит хакеров, которые помогут в восстановлении потерянных средств, предложив 10% средств, восстановленных на начальном этапе.