En los últimos días, el ecosistema de las finanzas descentralizadas (DeFi) ha estado al borde del colapso, tras el hackeo que sufrió Curve Finance a finales de julio.
En total, serían cerca de 61 millones de dólares que fueron drenados desde la plataforma. Esto también afectó a Metronome y Alchemix, cuando un hacker desconocido aprovechó un error de codificación para saquear múltiples pools.
Sin embargo, el 4 de agosto, el atacante devolvió 4.820 ETH. Equivalentes a 8,9 millones de dólares, fueron enviados al monedero multisig de Alchemix.
Esto ocurrió luego de que el hacker solicitara la confirmación de que la dirección del monedero fuera correcto.
Anteriormente, Curve Finance, Metronome y Alchemix ofrecieron una recompensa del 10% a los hackers responsables del atraco, a cambio de la devolución de los fondos robados.
La fecha límite para la devolución de los activos es el 6 de agosto a las 08:00 UTC. Superado el límite, la recompensa se convertirá en un pago vigilado a cualquiera que proporcione información.
¿Cómo fue el ataque a Curve?
De acuerdo a lo comentado por Dimitri Orga, Head & Co-Founder LYTRYUM e Ingeniero analista de Blockchain, el ataque se originó por un error en el compilador de Vyper, en concreto en las versiones 0.2.15, 0.2.16 y 0.3.0.
“Algunos de los Pools de Curve utilizaban estas versiones antiguas y uno de los problemas fue que para estos pools afectados se ha guardado el ETH nativo en un slot de memoria diferente al que debería ser, lo cual causa que la función de lectura del Smart Contract “read only” se lea desde un slot de memoria diferente”.
Tras el hackeo, Forbes informó que se retiraron unos 1.500 millones de dólares de los protocolos DeFi, lo que indica una pérdida de confianza en el ecosistema.
De todos modos, queda esperar al 6 de agosto para saber si es que el hacker devolverá finalmente los fondos robados, para así cobrar la recompensa.