El exploit Curve-Vyper: Toda la historia hasta ahora
El ecosistema de las finanzas descentralizadas (DeFi) ha tenido una semana difícil después de que un incidente de seguridad sísmico provocara el robo de más de USD 61 millones de los fondos de Curve Finance, dejando riesgos contagiosos más amplios a los que se enfrentan varios protocolos.
Este ataque puso de manifiesto vulnerabilidades en todos los proyectos DeFi y desencadenó esfuerzos para recuperar los fondos en los últimos días.
Mientras la comunidad navega por las secuelas de este ataque, Cointelegraph ha recopilado los acontecimientos de la semana, presentando una cronología de lo sucedido desde el ataque del 30 de julio.
El Hackeo: los fondos de Curve Finance son vulnerados por más de USD 61 millones debido a un bug de reentrada
Varios fondos de stablecoins de Curve Finance que utilizan el lenguaje de programación Vyper fueron explotados el 30 de julio, con pérdidas que superan los USD 61 millones (las pérdidas totales se estimaron inicialmente en USD 47 millones). La vulnerabilidad se encontró en las versiones 0.2.15, 0.2.16 y 0.3.0 de Vyper.
Varios proyectos DeFi se vieron afectados por el ataque. El exchange descentralizado Ellipsis informó de que un pequeño número de pools de stables con BNB fueron explotados utilizando un antiguo compilador Vyper. AlETH-ETH de Alchemix también fue testigo de retiros de USD 13.6 millones debido al ataque, junto con USD 11.4 millones explotados en el pool pETH-ETH de JPEGd, y USD 1.6 millones en el pool sETH-ETH de Metronome. El CEO de Curve Finance, Michael Egorov, también confirmó que se habían retirado 32 millones en tokens Curve DAO (CRV) por valor de más de USD 22 millones del swap pool.
BNB Smart Chain también fue víctima de ataques similares debido a la misma vulnerabilidad, con alrededor de USD 73,000 en criptomonedas robados en BSC a través de tres exploits.
Desde que se conoció la noticia, hackers éticos y malintencionados se han enfrentado tratando de interrumpir los intentos de explotación de los demás o sus esfuerzos por recuperar fondos.
Las investigaciones preliminares descubrieron que algunas versiones del compilador Vyper no implementaban correctamente la guardia de reentrada, que impide que se ejecuten varias funciones al mismo tiempo mediante el bloqueo de un contrato.
El impacto: La vulnerabilidad de Vyper expone el ecosistema DeFi a pruebas de estrés y el precio de CRV se desploma
El incidente de seguridad expuso los protocolos DeFi a una prueba de estrés en los días siguientes, lo que suscitó preocupación por el impacto del exploit en el criptoecosistema, en particular porque la vulnerabilidad podría poner en riesgo de ataque a todos los pools con wrapped Ether (WETH).
Vyper es un lenguaje de programación de contratos diseñado para la máquina virtual de Ethereum (EVM). Se considera uno de los lenguajes de programación Web3 más utilizados, lo que significa que el fallo en tres de sus versiones podría amenazar a muchos otros protocolos.
El exploit también dio lugar a uno de los mayores bloques de recompensa de valor máximo extraíble (MEV) de 584.05 Ether (ETH). Según el desarrollador del núcleo de Ethereum “eric.eth”, el bot detectó un hack entrante en el mempool, reprodujo la transacción e hizo frontrunning. “Para ello, pagan al productor del bloque una gran cantidad de ETH para ir primero”, explicó. Los bots de MEV pueden ver las transacciones de liquidación pendientes y adelantarse a ellas para comprar primero los activos liquidados con un descuento.
Today has produced some of the largest MEV reward blocks in Ethereum’s history.
Slot 6,992,273: 584 ETH
Slot 6,993,342: 345 ETH
Slot 6,992,050: 247 ETH
Slot 6,993,346: 51 ETH— eric.eth (@econoar) July 30, 2023
El CEO de Curve se apresura a pagar los préstamos garantizados
Las amenazas en otros lugares también podrían causar efectos dominó en DeFi. El fundador de Curve Finance, Michael Egorov, tenía alrededor de USD 100 millones en préstamos respaldados por el 47% de la oferta en circulación del token nativo del protocolo; Curve DAO (CRV).
Sin embargo, el precio de CRV cayó casi un 30% tras el hackeo, hasta un mínimo de USD 0.48, ante el temor de que se liquidaran los préstamos garantizados de Egorov.
Para reducir su posición deudora, Egorov vendió 39.25 millones de tokens CRV a varios inversores notables de DeFi, entre ellos Justin Sun, Machi Big Brother y DWF Labs, por un total de USD 15.8 millones. Los compradores adquirieron CRV a USD 0.40 por token, un descuento del 25% respecto al precio de mercado en ese momento. Además, realizó pagos parciales de dos préstamos en Aave y Frax Finance.
Price feeds de exchanges centralizados evitan que el precio de Curve se desplome en medio de una vulnerabilidad de USD 100 millones
El precio del token CRV se desplomó en el mercado DeFi debido al drenaje significativo de varios pools; sin embargo, finalmente fue salvado por los price feeds de los exchanges centralizados. El precio de CRV alcanzó los USD 0.086 en los exchanges descentralizados, pero cotizó a USD 0.60 en los exchanges centralizados (CEX), evitando que el precio del token se desplomara a cero.
El irónico incidente llamó la atención de Changpeng Zhao, CEO de Binance, quien se rió por el hecho de que, al final, fuera un feed de precios de CEX lo que salvara el protocolo DeFi.
También reaccionando a un entorno incierto, la stablecoin nativa de Curve, crvUSD, perdió brevemente su paridad con el dólar el 3 de agosto. La stablecoin algorítmica cayó hasta un 0.35% antes de recuperar su paridad con el dólar estadounidense. Lanzada recientemente, crvUSD utiliza un mecanismo para mantener su paridad denominado algoritmo PegKeeper, que garantiza que el valor de crvUSD está adecuadamente respaldado por garantías y equilibra la oferta y la demanda.
Comunidad DeFi: un hacker ético recupera USD 5.4 millones para Curve Finance
Durante la crisis, la comunidad DeFi apoyó a Curve Finance. El 31 de julio, un hacker ético consiguió recuperar unos 2,879 Ether por valor de unos USD 5.4 millones de un explotador y los devolvió a Curve Finance. Horas más tarde, otro hacker ético se consiguió casi 3.000 ETH y los devolvió a la dirección del deployer de Curve.
En medio de los temores de liquidación en torno a los préstamos de Egorov, Jun Du, cofundador de Huobi, compró 10 millones de CRV por USD 4 millones al CEO de Curve. Además, el fundador de Aave Chan, Marc Zeller, propuso al Tesoro de Aave comprar tokens CRV por valor de USD 2 millones del protocolo. Según la propuesta, la adquisición señalaría que los jugadores de DeFi apoyan la salud del ecosistema.
What about crvUSD? How does its price react to shock events, does it depeg?
Events of recent days felt similar to SVB/USDC situation in some sense. However, crvUSD had just a 0.35% dip, and currently 0.1% from the peg pic.twitter.com/HaMfbkiFSR
— Curve Finance (@CurveFinance) August 3, 2023
La plataforma cross-chain de préstamos Abracadabra Money también propuso aumentar el tipo de interés de sus préstamos pendientes para gestionar los riesgos asociados a su exposición a CRV.
La devolución de fondos: Curve, Metronome y Alchemix ofrecen una recompensa del 10% del total del exploit
El 3 de agosto, Curve, Metronome y Alchemix anunciaron conjuntamente una iniciativa para recuperar los fondos robados a raíz de los recientes exploits de los pools de Curve. Los protocolos ofrecían como recompensa un 10% de los fondos robados, instando a los responsables del exploit a dar un paso al frente y devolver el 90% restante, con lo que la recompensa se acercaría a unos USD 7 millones.
La oferta iba acompañada de la garantía de no emprender más acciones legales ni implicar a las fuerzas del orden. “Queremos resolver esto de forma civilizada”, escribieron los protocolos al hacker.
In less than 24 hours, on Aug. 4, the original attacker for the multi-million-dollar exploit apparently accepted the bounty offer and began returning funds stolen a few days earlier. They sent back 4,820.55 Alchemix ETH (alETH), worth approximately $8,889,118, to the Alchemix Finance team, as well as 1 ETH, approximately $1,844, to the Curve Finance team.
En menos de 24 horas, el 4 de agosto, el atacante original del exploit multimillonario aparentemente aceptó la oferta de recompensa y comenzó a devolver los fondos robados unos días antes. Enviaron 4,820.55 Alchemix ETH (alETH), por valor de aproximadamente USD 8,889,118, al equipo de Alchemix Finance, así como 1 ETH, aproximadamente USD 1,844, al equipo de Curve Finance.
El atacante también publicó un mensaje que parece haber sido dirigido a los equipos de Alchemix y Curve, afirmando que devolvería los fondos, pero sólo porque no quería “arruinar” los proyectos implicados y no porque pudieran atraparlo.
Al cierre de esta edición, se habían devuelto un total de USD 8.9 millones en criptomoneda, lo que equivale aproximadamente al 15% de la cantidad total robada.
Información adicional de Amaka Nwaokocha, Ezra Reguerra, Martin Young, Nivesh Rustgi, Prashant Jha, Tom Blackstone y Zhiyuan Sun.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.