Vào ngày 30 tháng 7, bốn nhóm Curve Finance đã bị khai thác do lỗi đăng nhập lại do ngôn ngữ lập trình Vyper tạo ra. Các tin tặc đã tấn công bốn nhóm khai thác và kiếm được tổng cộng 73,5 triệu USD. Gần như ngay lập tức, cộng đồng đã bắt tay vào hành động – Curve đã mở rộng standard olive branch, đề nghị coi vụ việc là sự cố mũ trắng để đổi lấy 90% số tiền bị đánh cắp sẽ được gửi lại.
Một số kẻ tấn công – đặc biệt là những kẻ liên quan đến vụ vi phạm Metronome – đã chấp nhận lời đề nghị của Curve, trả lại 90% số tiền. Thật không may, không phải tất cả các hacker đều có xu hướng từ bỏ khối tài sản mới tìm được của mình. Sau khi thu hồi được khoảng 52 triệu USD, cộng đồng Curve đặt ra nhiệm vụ quyết định xem liệu người dùng có nên được hoàn trả hay không và nếu có thì việc đó sẽ được thực hiện như thế nào.
Cuối cùng, vấn đề đã được quyết định bằng một cuộc bỏ phiếu. Đề xuất này, đã được 94% cử tri đồng ý, hứa sẽ không chỉ hoàn trả bất kỳ token nào chưa được tính toán mà còn bù đắp cho lượng phát thải CRV bị thiếu mà lẽ ra sẽ được phân phối cho các nhóm Curve nếu vụ hack không diễn ra.
“Trong khi số tiền bị đánh cắp trong mỗi nhóm đã được phục hồi hoàn toàn hoặc một phần, các bot MEV đã khiến tất cả các nhóm bị ảnh hưởng bị thiếu hụt và đề xuất khắc phục này nhằm mục đích khôi phục toàn bộ LP bị ảnh hưởng. […] Tổng số ETH cần phục hồi được tính là 5919,2226 ETH, CRV để phục hồi được tính là 34.733.171,51 CRV và tổng số để phân phối được tính là 55’544’782,73 CRV.”
Cuối cùng, cộng đồng sẽ hoàn trả cho những người dùng bị ảnh hưởng số CRV trị giá tổng cộng 42 triệu USD, phủ nhận khoản lỗ được tính toán là hơn 94 triệu USD.
Đề nghị hoàn trả các khoản lãi chưa thực hiện là một động thái thú vị – một điều chắc chắn sẽ củng cố niềm tin của những người đầu tư vào các nhóm liên quan đến CurveDAO. Tuy nhiên, có vẻ như các nhà phát triển vẫn còn việc phải làm để đảm bảo tình trạng tốn kém này không lặp lại. Điều đáng nói là một cuộc tấn công khác vào Curve Pools – mặc dù sử dụng một phương pháp khác – đã được thực hiện thành công vào tháng trước. Với nguồn tài nguyên khổng lồ của DAO được đề cập, dường như cần đầu tư đáng kể vào bảo mật tốt hơn.
