De acordo com o CryptoPotato, no dia 30 de julho, quatro pools da Curve Finance foram explorados devido a um bug de reentrada na linguagem de programação Vyper. Os hackers atacaram quatro pools de mineração e roubaram um total de US$ 73,5 milhões. Em resposta, a Curve se ofereceu para tratar o incidente como um incidente de chapéu branco se 90% dos fundos roubados fossem devolvidos. Alguns chapéus brancos genuínos também perseguiram os hackers, recuperando uma pequena parte dos fundos e devolvendo-os à bolsa.
Alguns dos invasores, principalmente aqueles envolvidos na violação do Metronome, aceitaram a oferta da Curve e devolveram 90% dos fundos. No entanto, nem todos os hackers estavam dispostos a abrir mão de sua nova riqueza. Depois de recuperar cerca de US$ 52 milhões, a comunidade Curve começou a discutir se os usuários deveriam ser reembolsados e, em caso afirmativo, como isso deveria ser feito. O assunto foi finalmente decidido por votação.
A proposta, que foi aprovada por 94% dos eleitores, prometia não apenas reembolsar quaisquer tokens não contabilizados, mas também compensar as emissões perdidas de CRV que teriam sido distribuídas aos pools Curve se o hack não tivesse ocorrido. A comunidade reembolsará os usuários afetados por um total de US$ 42 milhões em CRV, compensando a perda calculada de mais de US$ 94 milhões. O gesto de reembolsar ganhos não realizados provavelmente aumentará a confiança daqueles que investem em pools relacionados ao CurveDAO. No entanto, os desenvolvedores ainda precisam trabalhar para garantir que uma situação tão dispendiosa não aconteça novamente. É importante notar que outro ataque ao Curve Pools, usando um método diferente, foi realizado com sucesso no mês passado. Dados os vastos recursos do DAO em questão, parece necessário um investimento significativo numa melhor segurança.
