Una vulnerabilidad de Vyper somete al ecosistema DeFi a pruebas de resistencia
Los protocolos de finanzas descentralizadas (DeFi) están siendo sometidos a una prueba de resistencia tras detectarse una vulnerabilidad crítica en versiones del lenguaje de programación Vyper, que provocó el robo de criptomonedas por valor de millones de dólares el 30 de julio.
Una serie de pools que utilizan Vyper 0.2.15, 0.2.16 y 0.3.0 han sido explotados debido a un mal funcionamiento del bloqueo de reentrada, dirigido al menos a cuatro pools de liquidez en el protocolo Curve Finance. “La respuesta corta es que todo lo que podía ser drenado fue drenado. Los pools atacados son aETH/ETH, msETH/ETH, pETH/ETH y CRV/ETH. Todos los pools restantes están a salvo y no se ven afectados por el fallo”, dijo Curve Finance en Discord.
BlockSec, una empresa de auditoría de contratos inteligentes, señaló que la reentrada podría poner en riesgo de ataque a todos los pools con wrapped Ether (WETH).
Please note that this reentrancy issue is associated with the use of ‘use_eth’, which could potentially place the WETH-related pools in jeopardy! @CurveFinance , please DM us if you need any help. https://t.co/vjc1RRce7w pic.twitter.com/Wz8DXJZK7Y
— BlockSec (@BlockSecTeam) July 30, 2023
Ten en cuenta que este problema de reentrada está asociado con el uso de ‘use_eth’, lo que podría poner en peligro los pools relacionados con WETH. @CurveFinance, envíanos un mensaje privado si necesitas ayuda.
Vyper es un lenguaje de programación de contratos diseñado para la Ethereum Virtual Machine (EVM). Se considera uno de los lenguajes de programación Web3 más utilizados, lo que significa que el fallo en tres de sus versiones podría tener un impacto en varios otros protocolos.
El ataque afecta a varios proyectos de finanzas descentralizadas, con alETH-ETH de Alchemix reportando flujos de salida de USD 13.6 millones, el pool pETH-ETH de PEGd drenado en USD 11.4 millones, el pool sETH-ETH de Metronome hackeado por USD 1.6 millones y más de 32 millones en tokens Curve DAO (CRV) por valor de más de USD 22 millones drenados en las últimas horas. El exchange descentralizado Ellipsis también informó de que un pequeño número de pools estables con BNB fueron explotados utilizando un antiguo compilador Vyper.
crv/eth pool drained minutes before a whitehack operation 🙁https://t.co/rhALBzkTEi
— banteg (@bantg) July 30, 2023
crv/eth pool drenado minutos antes de una operación whitehack 🙁
El incidente también afectó negativamente a la cotización de CRV, que había bajado más de un 12% en el momento de redactar este artículo, a USD 0.64. Los miembros de la comunidad también señalaron un posible efecto dominó en el protocolo de Aave, ya que la caída del precio de CRV podría obligar al fundador de Curve, Michael Egorov, a liquidar una posición prestataria de USD 70 millones en Aave.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.