Según una serie de publicaciones en Twitter compartidas por la plataforma el 30 de julio, el ataque se originó en una versión específica de Vyper, el lenguaje de programación utilizado en la plataforma, lo que permitió la explotación de varios pools estables, incluyendo alETH/msETH/pETH. Más de 100 millones de dólares en criptomonedas podrían estar en riesgo
A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.
Other pools are safe. https://t.co/eWy2d3cDDj
— Curve Finance (@CurveFinance) July 30, 2023
Dimitri Orga , Head & Co-Founder LYTRYUM e Ingeniero analista de Blockchain y Web3 nos comenta que el ataque ha sido por un error en el compilador de Vyper, en concreto en las versiones 0.2.15, 0.2.16 y 0.3.0.
Orga menciona que algunos de los Pools de Curve utilizaban estas versiones antiguas y uno de los problemas fue que para estos pools afectados – se ha guardado el ETHER nativo en un slot de memoria diferente al que debería ser lo cual causa que la función de lectura del Smart Contract “read only” se lea desde un slot de memoria diferente. Para Dimitri Orga, esto se ha aprovechado lanzando ataques de re-entrada con BOTs mediante MEV vaciando los pools afectados
Por otro lado, BlockSec menciona que la reentrada es un fallo común en contratos inteligentes que permite a los atacantes robar activos mediante llamadas repetidas al protocolo. Otros proyectos que usan el lenguaje Vyper pueden tener la misma vulnerabilidad. Hasta el momento, no se sabe con certeza la cantidad drenada en el ataque a Curve, pero se estima que las pérdidas superan los 42 millones de dólares según un análisis preliminar de BlockSec. Curve opera 232 pools, pero solo aquellos que utilizan ciertas versiones de Vyper están en riesgo.
Aave también se vio afectado, desactivando su función de préstamo CRV debido a una deuda masiva del fundador de Curve. Si los precios de CRV continúan bajando, podrían liquidarse posiciones en CRV en otros protocolos.
Whitehat salva al fundador de Curve
Curve Finance ha recuperado parte de los fondos robados gracias a que el operador de bots ‘c0ffeebabe.eth‘ devolvió 2879 ETH, que actualmente valen casi 5,5 millones de dólares, de manera ética al hacker. Sin embargo, el robo causó una caída del 17% en el token CRV nativo de Curve DAO, lo que amenazó con forzar una liquidación de la posición de préstamo de 70 millones de dólares del fundador de Curve en Aave. Como resultado, el valor total de los activos bloqueados en Curve se redujo a 1.700 millones de dólares desde los más de 3.000 millones del día anterior, ya que los inversores posiblemente retiraron su capital de la plataforma.
Pese a este lamentable suceso Dimitri Orga se muestra optimista con este proyecto y nos menciona que
“Curve, sigue siendo una de las primitivas DeFi más importantes y se acabará recuperando de este golpe” y agrega “estoy esperando a ver si CRV toca 0,5 USD para acumular”
Descargo de responsabilidad: La información presentada en este medio es solo para fines informativos y no constituye asesoramiento financiero del o de inversión. Siempre busque el consejo de un profesional financiero antes de tomar decisiones financieras. Declinamos cualquier responsabilidad por pérdidas o daños que puedan surgir del uso de la información proporcionada. Tenga en cuenta que el mercado financiero y las criptomonedas son volátiles y conllevan riesgos significativos. Realice su propia investigación y evalúe los riesgos antes de tomar cualquier decisión financiera.
