A Curve Finance (CRV), segunda maior corretora da Ethereum (ETH), perdendo apenas para a Uniswap, foi alvo de hackers que dura até esta segunda-feira (31). Nesse sentido, os porta-vozes da Curve afirmam que hackers roubaram mais de US$ 46,5 milhões em vários ativos digitais. Desenvolvedores afirmam que encontraram a vulnerabilidade na linguagem de programação dos contratos inteligentes, a Vyper. A linguagem é usada para alimentar partes do sistema Curve e grande parte dos aplicativos DeFi.
A plataforma de finanças descentralizada (DeFi) tem como objetivo fornecer liquidez para outras plataformas, em formato de liquidity pools e outros serviços. Desse modo, usuários utilizam uma cesta de dois, ou mais ativos, para fornecer ou emprestar liquidez.
O valor total bloqueado da Curve Finance (TVL) derreteu desde o início do ataque, caindo de US$ 3,26 bilhões em 30 de julho para US$ 1,74 bilhão, constituindo uma queda de quase 46% em um período de 24 horas, segundo dados da DefiLlama. Além disso, o token de recompensa e governança CRV da Curve caiu 13,4%, para US$ 0,64, depois de cair para US$ 0,58 no início do dia.
Ataque hacker na Curve Finance
Como resultado da vulnerabilidade, hackers hackearam os seguintes pools: crv/eth, aleth/eth, mseth/eth e peth/eth. Outro pool potencialmente afetado é o tricrypto do arbitrum. Apesar disso, a equipe diz que todos os pools já estão seguros. Contudo, segundo noticiou o CoinDesk, mais de US$ 100 milhões em criptomoedas ainda estão em risco devido a um bug de “reentrada” no Vyper.
Os ataques começaram na manhã destre domingo, com a primeira invasão no pool de liquidez pETH-ETH de um usuário em mais de US$ 11 milhões, embora possa ter sido executado por um pesquisador MEV.
Os MEV Bots, são programadores que desenvolvem robôs capazes de encontrar vulnerabilidades do gênero. Entre eles, existem os criminosos, e os pesquisadores, contratados pela própria empresa para encontrar vulnerabilidades antes que os criminosos.
Pessoas diferentes provavelmente realizaram os outros quatro ataques, que drenaram o pool alETH-ETH da Alchemix, o pool CRV/ETH duas vezes, o pool pETH-ETH de Pendle e o pool msETH-ETH do Metronome. Portanto, o valor total do ataque foi mais de US$ 70 milhões, segundo pesquisadores onchain analisaram.
Vale ressaltar que alguns dos hacks foram supostamente feitos por hackers éticos, ou pesquisadores. Entre eles, um operador de MEV bot com o nome ENS ‘c0ffeebabe.eth’ que já devolveu 2.879 ETH (avaliados em aproximadamente US$ 5,4 milhões) para a Curve Finance.
Os recursos foram desviados do pool de liquidez CRV-ETH durante o “ataque” ético. Desse modo, o total de ativos desviados dos pools do Curve chega a $ 46,5 milhões. Antes da devolução de “c0ffeebabe.eth” eram US$ 52 milhões.
