En Resumen
- Varios proyectos que bifurcaron el código de Curve Finance reportan exploits tras una vulnerabilidad en el lenguaje Vyper.
- El ataque a Curve Finance resultó en un daño estimado de $52 millones y expuso una vulnerabilidad crítica en el ecosistema DeFi.
- Varios forks de Curve en otras cadenas también informan explotaciones similares.
Varios equipos que bifurcaron el código de Curve Finance ahora están informando de exploits después de que un atacante descubriera una vulnerabilidad en un antiguo compilador en el lenguaje de programación Vyper.
Curve Finance es un exchange descentralizado para intercambios estables entre stablecoins y tokens cripto como Ethereum y Wrapped Ethereum (WETH).
La plataforma fue explotada el domingo por un estimado de $52 millones.
Además del daño causado a Curve en sí, el hackeo expuso una vulnerabilidad crítica en el ecosistema más amplio de DeFi, afectando específicamente a contratos inteligentes construidos utilizando ciertas versiones del lenguaje de programación Vyper.
Esto ha tenido efectos secundarios dado lo frecuente que se utiliza Vyper en varios proyectos de criptomonedas, aunque mucho menos que Solidity, según Michael Lewellan, jefe de arquitectura de soluciones de OpenZeppelin, dijo Decrypt.
Según un tweet del equipo de Vyper, los contratos desarrollados con las versiones 0.2.15, 0.2.16 y 0.3.0 de Vyper actualmente son "vulnerables a bloqueos de reentrancia defectuosos".
El equipo insta enérgicamente a los desarrolladores de otras dApps basadas en Vyper a "abordar de inmediato" este problema. "Este no fue un problema en los protocolos o en el código de las dapps, sino un problema en Vyper en sí mismo, que es un lenguaje EVM minoritario, pero que ha existido durante mucho tiempo", dijo Gustavo González, desarrollador de soluciones en Open Zeppelin, a Decrypt.
El desarrollador de Vyper, Mr doggo, sospecha la participación de "hackers patrocinados por el estado" basándose en el nivel de recursos, tiempo y experiencia utilizados para ejecutar el hackeo y exponer la vulnerabilidad en los contratos inteligentes de Curve.
Un investigador de seguridad independiente, dijo a Decrypt que los contratos inteligentes de Vyper "podrían ser vulnerables si se cumplen dos condiciones".
Primero, el contrato se construye utilizando Vyper versión 0.2.15. Segundo, no se implementan salvaguardias adecuadas para agregar y eliminar liquidez en el código.
Otro problema que pudo haber acelerado el daño de la explotación fue que los detalles del error se publicaron en Twitter antes de que se mitigara la explotación.
Esto llevó a "algunas críticas debido a que esta información podría ser utilizada para ataques adicionales", dijo Lewellan a Decrypt. "Existen preocupaciones en la comunidad de seguridad de ETH de que la comunicación de errores debe ser más discreta".
Los forks de Curve informan explotaciones
También están surgiendo forks del protocolo Curve en otras cadenas con informes de explotaciones similares.
Ellipsis Finance, un fork autorizado de Curve con $6,5 millones en depósitos totales, según datos de DeFiLlama aquí, tuiteó esta mañana que se explotaron "un pequeño número de stablepools con BNB".
El equipo de Curve Finance también dijo que el pool Tricrypto, compuesto por USDT, WBTC y ETH, en la implementación de Curve en la solución de capa 2 Arbitrum también estaba "potencialmente afectado" pero aún no explotado.
Auxo DAO, un fondo de yield farming descentralizado con depósitos totales por valor de $5,4 millones, decidió retirar liquidez de los pools de Curve y Convex Finance para "mitigar los riesgos de contagio".
Convex Finance es una aplicación DeFi que ofrece estrategias de optimización de rendimiento para los tokens CRV de Curve con depósitos totales por valor de $1,382 mil millones, según datos de DefiLlama. Su liquidez ha caído un 52,5% desde $2.91 mil millones desde ayer después de la explotación de Curve.
Tiene 298,3 millones de tokens CRV, según un panel de Dune, que representa un tercio del suministro circulante de CRV.
Por lo general, para ganar comisiones y recompensas de staking de Curve, los usuarios deben bloquear los tokens CRV durante hasta cuatro años.
Sin embargo, Convex evita el período de bloqueo emitiendo un derivado cvxCRV para retener liquidez y permite el bloqueo de tokens CRV para ganar comisiones de negociación y reclamar CRVs sin bloquear los tokens.
Daily Debrief Newsletter
Start every day with the top news stories right now, plus original features, a podcast, videos and more.