El ecosistema de finanzas descentralizadas (DeFi) ha experimentado una semana desafiante después de que un incidente de seguridad sísmico provocó el robo de más de $ 61 millones de los fondos comunes de Curve Finance, lo que dejó a varios protocolos enfrentando riesgos de contagio más amplios.
Este ataque expuso vulnerabilidades en los proyectos DeFi y provocó esfuerzos para recuperar los fondos robados en los últimos días.
Mientras la comunidad navega por las secuelas de este exploit, Cointelegraph compiló los eventos de la semana y presentó una cronología de lo que sucedió desde el ataque el 30 de julio.
El truco: los grupos de Curve Finance se explotan por más de $ 61 millones debido a la vulnerabilidad de reingreso
El 30 de julio se explotaron varios grupos estables en Curve Finance que usaban el lenguaje de programación Vyper, con pérdidas que superaron los $ 61 millones (las pérdidas totales fueron inicialmente estimado en $ 47 millones). La vulnerabilidad se encontró en las versiones 0.2.15, 0.2.16 y 0.3.0 de Vyper.
Varios proyectos DeFi se vieron afectados por el ataque. El intercambio descentralizado (DEX) Ellipsis informó que una pequeña cantidad de grupos estables con BNB (BNB) fueron explotados usando un viejo compilador Vyper. El alETH-ETH de Alchemix también fue testigo de $ 13.6 millones de salidas debido al ataque, junto con $ 11.4 millones explotados en el grupo pETH-ETH de JPEGd y $ 1.6 millones del grupo seETH-ETH de Metronome. El director ejecutivo de Curve Finance, Michael Egorov, también confirmado que 32 millones de tokens Curve DAO (CRV) por valor de más de $ 22 millones se habían drenado del grupo de intercambio.
La cadena inteligente BNB (BSC) también fue víctima de ataques de imitación debido a la misma vulnerabilidad, con alrededor de $ 73,000 en criptomonedas en BSC en tres exploits robados.
Desde que se conoció la noticia del exploit, los hackers de sombrero blanco y sombrero negro han estado peleando en la cadena, intentando interrumpir los intentos de explotación de los demás o los esfuerzos para recuperar fondos.
Las investigaciones preliminares encontraron que algunas versiones del compilador Vyper no implementaron correctamente la protección de reentrada, que evita que se ejecuten varias funciones al mismo tiempo al bloquear un contrato.
El impacto: la vulnerabilidad de Vyper expone el ecosistema DeFi a pruebas de estrés; El precio de CRV cae en picado
El incidente de seguridad expuso los protocolos DeFi a una prueba de estrés en los días siguientes, generando preocupaciones sobre el impacto del exploit en el ecosistema criptográfico, en particular, porque la vulnerabilidad podría colocar todos los grupos con Éter envuelto (WETH) en riesgo de ataque.
Vyper es un lenguaje de programación por contrato diseñado para la máquina virtual Ethereum. Se considera uno de los lenguajes de programación Web3 más utilizados, lo que significa que el error en tres de sus versiones podría amenazar a varios otros protocolos.
La hazaña también condujo a uno de los más grandes de la historia bloques de recompensa de valor extraíble máximo (MEV) de 584.05 Ether (ETH). Según el desarrollador central de Ethereum "eric.eth", el bot notó un hack entrante en el mempool, reprodujo la transacción y la ejecutó por adelantado. “Para hacerlo, le pagan al productor de bloques una gran cantidad de ETH para estar al frente de la línea”, explicó. Los bots MEV pueden ver las transacciones de liquidación pendientes y adelantarlas para comprar los activos liquidados primero con un descuento.
Hoy ha producido algunos de los bloques de recompensa MEV más grandes en la historia de Ethereum.
Ranura 6,992,273: 584 ETH
Ranura 6,993,342: 345 ETH
Ranura 6,992,050: 247 ETH
Ranura 6,993,346: 51 ETH- eric.eth (@econoar) 30 de Julio de 2023
El CEO de Curve se apresura a pagar los préstamos garantizados
Las amenazas en otros lugares también podrían causar efectos dominó en DeFi. Fundador de Curve Finance miguel egórov tenía alrededor de $ 100 millones en préstamos respaldados por el 47% del suministro circulante del token nativo del protocolo, CRV.
Sin embargo, el precio de CRV cayó casi un 30% después del hackeo, cayendo a un mínimo de $0.48 en medio de temores de que los préstamos garantizados de Egorov fueran liquidados.
Para reducir su posición de deuda, Egorov vendió 39.25 millones de tokens CRV a varios inversores notables de DeFi, incluidos Justin Sun, Machi Big Brother y DWF Labs, por un total de $ 15.8 millones. Los compradores adquirieron CRV a $0.40 por token, un 25 % de descuento sobre el precio de mercado en ese momento. Además, Egorov realizó pagos parciales de dos préstamos en Aave y Frax Finance.
El feed de precios CEX evita que el precio de Curve se derrumbe
El precio del token CRV colapsó en el mercado DeFi debido al drenaje significativo de varios grupos; sin embargo, finalmente fue salvado por la fuente de precios del intercambio centralizado (CEX). El precio de CRV llegó a $ 0.086 en DEX, pero se negoció a $ 0.60 en CEX, lo que evitó que el precio del token cayera a cero.
El irónico incidente llamó la atención del CEO de Binance, Changpeng Zhao, quien se rió entre dientes del hecho de que, al final, fue un feed de precios de CEX lo que salvó el protocolo DeFi.
También reaccionando a un entorno incierto, la moneda estable nativa de Curve, crvUSD, brevemente despegado el 3 de agosto. La moneda estable algorítmica cayó hasta un 0.35% antes de recuperar su paridad con el dólar estadounidense. Lanzado recientemente, crvUSD utiliza un mecanismo para mantener su vinculación llamado algoritmo PegKeeper, que garantiza que el valor de crvUSD esté debidamente respaldado por garantías al tiempo que equilibra la oferta y la demanda.
Comunidad DeFi: hacker ético recupera USD 5.4 millones para Curve Finance en medio de un exploit
Durante la crisis, la comunidad DeFi apoyó a Curve Finance. El 31 de julio, un hacker de sombrero blanco logró recuperar alrededor de 2,879 Ether por valor de alrededor de $ 5.4 millones de un explotador y devolvió el ETH a Curve Finance. Horas más tarde, otro hacker ético incautó casi 3,000 ETH y devolvió el ETH a la dirección del implementador de Curve.
En medio de temores de liquidación en torno a los préstamos de Egorov, Jun Du, cofundador de Huobi, compró 10 millones CRV por $ 4 millones del CEO de Curve. Además, el fundador de Aave Chan, Marc Zeller propuso a Aave Hacienda comprar $2 millones valor de tokens CRV del protocolo. Según la propuesta, la adquisición indicaría que los jugadores de DeFi apoyan la salud del ecosistema.
¿Qué pasa con crvUSD? ¿Cómo reacciona su precio a los eventos de choque, se desvincula?
Los eventos de los últimos días se sintieron similares a la situación de SVB/USDC en algún sentido. Sin embargo, crvUSD solo tuvo una caída de 0.35% y actualmente 0.1% desde la paridad. pic.twitter.com/HaMfbkiFSR
- Curve Finance (@CurveFinance) 3 de agosto de 2023
La plataforma de préstamos entre cadenas Abracadabra Money también propuso aumentar la tasa de interés sobre sus préstamos pendientes para gestionar los riesgos asociados con su exposición a CRV.
El retorno de los fondos: Curve, Metronome y Alchemix ofrecen una recompensa por errores del 10 %; el hacker se lo lleva
El 3 de agosto, Curve, Metronome y Alchemix anunciaron conjuntamente una iniciativa para recuperar los fondos robados de las recientes hazañas de los fondos de Curve. Los protocolos ofrecían una recompensa del 10 % de los fondos incautados como recompensa, instando a los responsables del exploit a dar un paso al frente y devolver el 90 % restante, lo que acercaría la recompensa a los 7 millones de dólares.
La oferta vino con la garantía de que no habrá más acciones legales ni participación de las fuerzas del orden. “Queremos resolver esto de una manera civilizada”, escribieron los protocolos al hacker.
En menos de 24 horas, el 4 de agosto, el atacante original del exploit multimillonario aparentemente aceptó la oferta de recompensa y comenzó a devolver los fondos robados unos días antes. El hacker devolvió 4,820.55 Alchemix ETH (alETH), por un valor aproximado de 8,889,118 dólares, al equipo de Alchemix Finance, así como 1 ETH, aproximadamente 1,844 dólares, al equipo de Curve Finance.
El atacante también publicó un mensaje que parece haber sido dirigido a los equipos de Alchemix y Curve, afirmando estar dispuesto a devolver los fondos pero solo porque la persona no quería "arruinar" los proyectos involucrados y no porque el atacante fuera atrapado. .
Se ha devuelto un total de USD 8.9 millones en criptomonedas en el momento de escribir este artículo, lo que equivale aproximadamente al 15 % del monto total drenado.
Información adicional de Amaka Nwaokocha, Ezra Reguerra, Martin Young, Nivesh Rustgi, Prashant Jha, Tom Blackstone y Zhiyuan Sun.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
- Fuente: https://cointelegraph.com/news/curve-vyper-exploit-whole-story-so-far