智能合约黑客：黑客铸造了价值 1600 万美元的 1B 代币

Curio 是一家现实世界资产 (RWA) 流动性公司，成为严重智能合约漏洞的受害者，导致 1600 万美元的数字资产被盗。该公司立即向社区通报了这一事件，并向用户保证他们正在积极努力解决该问题。该漏洞是在 Curio 使用的基于 MakerDAO 的智能合约中发现的，影响了以太坊方面的操作，而 Polkadot 和 Curio Chain 上的合约则不受影响。

Web3 安全公司 Cyvers 估计该漏洞造成的损失约为 1600 万美元，并将其归因于特权访问逻辑中的缺陷。 Curio 发布了一份事后报告，详细介绍了该漏洞，并概述了针对受影响用户的补偿计划。该漏洞源于投票权特权访问控制中的缺陷，允许攻击者获得未经授权的访问并操纵 Curio 的 DAO 合约。

利用该缺陷，攻击者获得了 Curio Governance (CGT) 代币，从而提升了他们在该项目智能合约中的投票权。随后，攻击者执行了导致未经授权铸造 10 亿个 CGT 代币的行动。不过，Curio 向用户保证，所有受影响的资金都将被退回。为了实现这一目标，团队计划推出新的代币CGT 2.0，并确保CGT持有者的资金完全恢复。

此外，Curio 还概述了针对流动性提供者的补偿计划，分为四个阶段，每个阶段持续 90 天，以 USDC/USDT 支付，相当于流动性池第二个代币所造成损失的 25%。这种分阶段的补偿方法表明全额报销可能需要一年的时间才能完成。此外，Curio 还表示将奖励协助追回损失资金的白帽黑客，在初始恢复阶段提供相当于追回资金 10% 的奖励。