Las consecuencias del truco financiero de Curve
Las finanzas descentralizadas (DeFi) la industria se ha enfrentado a otro revés importante. Finanzas curvas, Un prominente DeFi protocolo, fue explotado el 30 de julio, lo que generó pérdidas que superaron los 47 millones de dólares. Este incidente fue consecuencia de una vulnerabilidad de reingreso en las versiones 0.2.15, 0.2.16 y 0.3.0 de Vyper que estaban usando varios grupos estables en Curve Finance.
La vulnerabilidad
La causa principal del exploit fue un mal funcionamiento en los bloqueos de reentrada de versiones específicas de Vyper, un lenguaje de programación Pythonic orientado a contratos que apunta a la máquina virtual Ethereum (EVM). Este lenguaje de programación es una opción preferida para los desarrolladores de Python que hacen la transición a Web3 debido a su similitud con Python.
La investigación inicial revela que estas versiones del compilador Vyper no implementan correctamente la protección de reentrada. Los ataques de reingreso ocurren cuando un contrato está bloqueado, lo que impide que se ejecuten varias funciones al mismo tiempo. Si no se implementa correctamente, esto puede agotar potencialmente todos los fondos de un contrato. Ancilia, una firma de seguridad, ha identificado 136 contratos usando Vyper 0.2.15, 98 contratos con Vyper 0.2.16 y 226 contratos con Vyper 0.3.0 con protección de reingreso.
truco de la curva
Varias DeFi los proyectos se vieron afectados por este exploit, lo que provocó salidas significativas. Por ejemplo, Elipsis, un intercambio descentralizado, informó que algunos grupos estables con BNB fueron explotados utilizando un antiguo compilador Vyper. El alETH-ETH de Alchemix registró una salida de 13.6 millones de dólares. El grupo de pETH-ETH de JPEGd se explotó por $ 11.4 millones, y el grupo de seTH-ETH de Metronome perdió $ 1.6 millones.
Varios grupos estables (alETH/msETH/pETH) que utilizan Vyper 0.2.15 han sido explotados como resultado de un mal funcionamiento del bloqueo de reentrada. Estamos evaluando la situación e informaremos a la comunidad a medida que se desarrollen las cosas.
- Curve Finance (@CurveFinance) 30 de Julio de 2023
Otras piscinas son seguras. https://t.co/eWy2d3cDDj
Tras estos ataques, miguel egórov, el CEO de Curve Finance, confirmó que más de 32 millones de tokens CRV por valor de más de $ 22 millones se habían extraído del grupo de intercambio. Esta confirmación se produjo a raíz de un pánico en todo el DeFi ecosistema, lo que lleva a numerosas transacciones entre grupos y una operación de rescate por parte de los sombreros blancos.
CoinMarketCap Los datos muestran que el token de utilidad de Curve Finance, Curve DAO (CRV), disminuyó más del 5% en reacción a la noticia. La liquidez de CRV ha disminuido significativamente en los últimos meses, lo que la hace propensa a cambios bruscos de precios.
A pesar del daño significativo, Curve Finance aseguró que los contratos de crvUSD y los grupos asociados con él no se vieron afectados por el exploit. Después del hackeo, Curve Finance confirmó el incidente y admitió que no pudieron asegurar el grupo a tiempo. Una sola transacción visible en Etherscan confirmó el exploit.
Contexto
Este exploit es el último de una serie de incidentes dirigidos a Curve Finance. Solo unos días antes, un atacante explotó la plataforma omnipool de Finanzas cónicas, llevándose $3.26 millones en Ether (ETH). El perpetrador transfirió casi la totalidad de la suma robada a una nueva dirección de Ethereum en una transacción rápida.
Actualmente estamos investigando un exploit que involucra a ETH Omnipool y compartiremos actualizaciones tan pronto como estén disponibles.
— Finanzas cónicas (@ConicFinance) 21 de Julio de 2023
El hackeo de Curve Finance es parte de un patrón más amplio de ataques contra DeFi protocolos Según un informe de la Web3 aplicación de cartera, De.Fi, DeFi los hacks y las estafas representaron más de $204 millones en pérdidas solo en el segundo trimestre de 2023.
Reembolso y devolución
Como resultado del incidente, el fundador de Curve actuó con prontitud y reembolsó 4.63 millones de USDT y depositó 16 millones de CRV (equivalentes a 10.12 millones de dólares) en Aave. Actualmente tiene un colateral de 293M CRV (valuado en $181M) y una deuda de 59.68M USDT en Aave, con una tasa de salud de 1.69.
En un giro inesperado de los acontecimientos, un usuario de criptomonedas llamado c0ffeebab.eth devolvió 2,879 ETH (aproximadamente 5.4 millones de dólares) al implementador de Curve. Este evento ha mitigado parte de la pérdida causada por el hackeo.
Transacción de devolución en Etherscan
Después #Curva fue hackeado, el fundador de #curvafi reembolsado 4.63 millones $ USDT y depositó 16M $ CRV ($ 10.12 millones) en #Cra.
— Lookonchain (@lookonchain) 31 de Julio de 2023
Actualmente tiene 293M $ CRV ($181M) de colateral y 59.68M $ USDT de la deuda en #Cra, con una tasa de salud de 1.69.https://t.co/stkFvDrlnv pic.twitter.com/tzYlt9Vmfk
The Aftermath
Los investigadores también identificaron las direcciones de los piratas informáticos y la cantidad de fondos explotados en relación con el pirateo de Curve. El monto total explotado hasta el momento ronda los $52M.
Direcciones de los piratas informáticos:
- 0xdce5d6b41c32f578f875efffc0d422c57a75d7d8: 7,259 ETH ($13.5M), related to AlchemixFi
- 0x6ec21d1868743a44318c3c259a6d4953f9978538
A partir de estos eventos, está claro que DeFi Los protocolos, aunque prometedores, todavía tienen sus vulnerabilidades. Tanto los protocolos como los usuarios deben permanecer atentos y proactivos en la implementación y seguimiento de las mejores prácticas de seguridad.
Eventos sin precedentes
De hecho, ha sido un día loco en criptografía. Mientras muchos entusiastas de las criptomonedas apostaban en Base, se produjo el hackeo de Curve, que dejó 32 millones de tokens CRV en manos del hacker. Aún más impactante fue la posibilidad de una liquidación CRV de $ 100 millones en Aave a $ 0.42 USD, aunque el fundador ha estado haciendo esfuerzos para pagar la deuda.
Día loco en cripto.
— Ignacio | DeFi Investigación (@DefiIgnacio) 30 de Julio de 2023
Mientras los degens apuestan en Base, Curve es pirateada con 32 millones de tokens CRV en manos del hacker.
Lo que es peor, hay una liquidación de CRV de $ 100 millones en Aave a $ 0.42 USD, pero el fundador actualmente está pagando la deuda.
???? pic.twitter.com/9s0JSrNYgt
truco de la curva ECONOMÉTRICOS
A medida que se asienta el polvo sobre el truco de Curve Finance, el impacto total en el ecosistema se vuelve claro. El ataque asestó un duro golpe a la DeFi ecosistema, impactando especialmente a los tokens que sufrieron consecuencias directas. Por ejemplo, varios tokens perdieron más del 30 % de su valor debido al exploit CRV.
La rápida respuesta del fundador de Curve para devolver algunos de los fondos perdidos y la devolución inesperada de fondos por parte de un tercero, junto con el giro irónico del hacker que pierde los fondos robados, han mitigado un poco la situación. Aún así, el incidente sirve como un recordatorio de las posibles vulnerabilidades dentro de los contratos inteligentes y el más amplio DeFi espacio.
Es importante para los proyectos dentro del DeFi espacio para invertir continuamente en medidas de seguridad, auditar sus contratos inteligentes y crear planes de contingencia para posibles ataques. Los usuarios también deben estar atentos y considerar los factores de riesgo al interactuar con DeFi plataformas.
El truco de Curve Finance es un claro recordatorio de que el potencial innovador y de alta recompensa del DeFi sector también conlleva un riesgo significativo. Con la maduración del sector, la expectativa es que los desarrolladores y las organizaciones adopten medidas de seguridad sólidas como práctica estándar, evitando así la posibilidad de tales vulnerabilidades en el futuro.
Más información:
- 16 mejores universidades para Metaverse y Web3: Educación, Investigación
- 50 Best NFT Mercados para creadores: Lista definitiva 2022
- Top 7 NFT Servicios de boletín para suscribirse ahora mismo
Observación
En línea con la Directrices del Proyecto Confianza, tenga en cuenta que la información proporcionada en esta página no pretende ser ni debe interpretarse como asesoramiento legal, fiscal, de inversión, financiero o de cualquier otro tipo. Es importante invertir sólo lo que pueda permitirse perder y buscar asesoramiento financiero independiente si tiene alguna duda. Para mayor información sugerimos consultar los términos y condiciones así como las páginas de ayuda y soporte proporcionadas por el emisor o anunciante. MetaversePost se compromete a brindar informes precisos e imparciales, pero las condiciones del mercado están sujetas a cambios sin previo aviso.
Sobre el Autor
Nik es un consumado analista y escritor en Metaverse Post, que se especializa en brindar información de vanguardia sobre el vertiginoso mundo de la tecnología, con un énfasis particular en AI/ML, XR, VR, análisis en cadena y desarrollo de blockchain. Sus artículos atraen e informan a una audiencia diversa, ayudándoles a mantenerse a la vanguardia de la tecnología. Con una Maestría en Economía y Administración, Nik tiene una comprensión sólida de los matices del mundo de los negocios y su intersección con las tecnologías emergentes.
Más artículos
Nik es un consumado analista y escritor en Metaverse Post, que se especializa en brindar información de vanguardia sobre el vertiginoso mundo de la tecnología, con un énfasis particular en AI/ML, XR, VR, análisis en cadena y desarrollo de blockchain. Sus artículos atraen e informan a una audiencia diversa, ayudándoles a mantenerse a la vanguardia de la tecnología. Con una Maestría en Economía y Administración, Nik tiene una comprensión sólida de los matices del mundo de los negocios y su intersección con las tecnologías emergentes.
