Hack da Curve-Vyper: toda a história até agora
Os pools da Curve Finance foram alvo de hackers em um ataque de reentrada em 30 de julho, enviando ondas de choque em todo o ecossistema DeFi. O Cointelegraph compilou os eventos da semana.
O ecossistema de finanças descentralizadas (DeFi) passou por uma semana desafiadora depois que um incidente sísmico de segurança levou ao roubo de mais de US$ 61 milhões dos pools da Curve Finance, deixando vários protocolos enfrentando riscos de contágio mais amplos.
Esse ataque expôs vulnerabilidades em projetos DeFi e gerou esforços para recuperar fundos roubados nos últimos dias.
Enquanto a comunidade navega após esse exploit, o Cointelegraph compilou os eventos da semana, apresentando uma linha do tempo do que aconteceu desde o hack em 30 de julho.
O hack: os pools da Curve Finance são explorados por mais de US$ 61 milhões devido à vulnerabilidade de reentrada
Vários pools estáveis na Curve Finance usando a linguagem de programação Vyper foram explorados em 30 de julho, com perdas atingindo mais de US$ 61 milhões (as perdas totais foram inicialmente estimadas em US$ 47 milhões ). A vulnerabilidade foi encontrada nas versões 0.2.15, 0.2.16 e 0.3.0 do Vyper.
Vários projetos DeFi foram afetados pelo ataque. Exchange descentralizada (DEX) Ellipsis informou que um pequeno número de pools estáveis com BNB (BNB) foram explorados usando um antigo compilador Vyper. O alETH-ETH da Alchemix também testemunhou saídas de US$ 13,6 milhões devido ao ataque, junto com US$ 11,4 milhões explorados no pool pETH-ETH da JPEGd e US$ 1,6 milhão no pool sETH-ETH da Metronome. O CEO da Curve Finance, Michael Egorov, também confirmou que 32 milhões de tokens Curve DAO (CRV) no valor de mais de US$ 22 milhões foram retirados do pool de swap.
A BNB Smart Chain (BSC) também foi vítima de ataques de imitação devido à mesma vulnerabilidade, com cerca de US$ 73.000 em criptomoedas no BSC em três exploits sendo roubados.
Desde que a notícia da exploração foi divulgada, os hackers de chapéu branco e chapéu preto têm brigado na rede, tentando interromper as tentativas de exploração uns dos outros ou os esforços para recuperar fundos.
Investigações preliminares descobriram que algumas versões do compilador Vyper não implementavam corretamente a proteção de reentrância, que impede que várias funções sejam executadas ao mesmo tempo, bloqueando um contrato.
O impacto: a vulnerabilidade do Vyper expõe o ecossistema DeFi a testes de estresse; Preço do CRV despenca
O incidente de segurança expôs os protocolos DeFi a um teste de estresse nos dias seguintes, levantando preocupações sobre o impacto da exploração no ecossistema criptográfico – em particular, porque a vulnerabilidade poderia colocar todos os pools com Wrapped Ether (WETH) em risco de ataque.
Vyper é uma linguagem de programação de contrato projetada para a Máquina Virtual Ethereum. É considerada uma das linguagens de programação Web3 mais utilizadas, o que significa que o bug em três de suas versões pode ameaçar vários outros protocolos.
A exploração também levou a um dos maiores blocos de recompensa de valor extraível máximo (MEV) de 584,05 Ether (ETH). De acordo com o desenvolvedor principal do Ethereum, “eric.eth”, o bot notou um hack no mempool, reproduziu a transação e a executou. “Para fazer isso, eles pagam muito ETH ao produtor do bloco para estar na frente da linha”, explicou. Os bots MEV podem ver transações de liquidação pendentes e executá-las antecipadamente para comprar os ativos liquidados primeiro com desconto.
Today has produced some of the largest MEV reward blocks in Ethereum’s history.
Slot 6,992,273: 584 ETH
Slot 6,993,342: 345 ETH
Slot 6,992,050: 247 ETH
Slot 6,993,346: 51 ETH— eric.eth (@econoar) July 30, 2023
CEO da Curve corre para pagar empréstimos garantidos
Ameaças em outros lugares também podem causar efeitos cascata no DeFi. O fundador da Curve Finance, Michael Egorov , tinha cerca de US$ 100 milhões em empréstimos garantidos por 47% da oferta circulante do token nativo do protocolo, CRV.
No entanto, o preço do CRV caiu quase 30% após o hack, caindo para um mínimo de US$ 0,48 em meio a temores de que os empréstimos garantidos de Egorov fossem liquidados.
Para reduzir sua posição de dívida, Egorov vendeu 39,25 milhões de tokens CRV para vários investidores DeFi notáveis, incluindo Justin Sun, Machi Big Brother e DWF Labs, por um total de US$ 15,8 milhões. Os compradores compraram o CRV a US$ 0,40 por token, um desconto de 25% em relação ao preço de mercado na época. Além disso, Egorov fez pagamentos parciais de dois empréstimos na Aave e na Frax Finance.
O feed de preço CEX evita que o preço do Curve entre em colapso
O preço do token CRV desabou no mercado DeFi devido à drenagem significativa de vários pools; no entanto, acabou sendo salvo pelo feed de preço da bolsa centralizada (CEX). O preço do CRV atingiu US$ 0,086 em DEXs, mas foi negociado a US$ 0,60 em CEXs, evitando que o preço do token caísse para zero.
O incidente irônico chamou a atenção do CEO da Binance, Changpeng Zhao, que riu do fato de que, no final, foi um feed de preço CEX que salvou o protocolo DeFi.
Também reagindo a um ambiente incerto, a stablecoin nativa da Curve, crvUSD, desligou brevemente em 3 de agosto . A stablecoin algorítmica caiu até 0,35% antes de recuperar sua paridade com o dólar dos Estados Unidos. Lançado recentemente, o crvUSD usa um mecanismo para manter seu peg chamado algoritmo PegKeeper, que garante que o valor do crvUSD seja adequadamente respaldado por garantias, equilibrando a oferta e a demanda.
Comunidade DeFi: hacker ético recupera US$ 5,4 milhões para a Curve Finance em meio à exploração
Durante a crise, a comunidade DeFi apoiou a Curve Finance. Em 31 de julho, um hacker de chapéu branco conseguiu recuperar cerca de 2.879 Ether no valor de cerca de US$ 5,4 milhões de um explorador e devolveu o ETH para a Curve Finance. Horas depois, outro hacker ético apreendeu quase 3.000 ETH e devolveu o ETH ao endereço do implantador da Curve.
Em meio a temores de liquidação em torno dos empréstimos de Egorov, Jun Du, cofundador da Huobi, comprou 10 milhões de CRV por US$ 4 milhões do CEO da Curve. Além disso, o fundador da Aave Chan, Marc Zeller, propôs que o Tesouro Aave comprasse US$ 2 milhões em tokens CRV do protocolo. De acordo com a proposta, a aquisição sinalizaria que os players DeFi apoiam a saúde do ecossistema.
What about crvUSD? How does its price react to shock events, does it depeg?
Events of recent days felt similar to SVB/USDC situation in some sense. However, crvUSD had just a 0.35% dip, and currently 0.1% from the peg pic.twitter.com/HaMfbkiFSR
— Curve Finance (@CurveFinance) August 3, 2023
A plataforma de empréstimos cross-chain Abracadabra Money também propôs aumentar a taxa de juros de seus empréstimos pendentes para gerenciar os riscos associados à sua exposição ao CRV.
O retorno dos fundos: Curve, Metronome e Alchemix oferecendo 10% de recompensa por bug; hacker pega
Em 3 de agosto, Curve, Metronome e Alchemix anunciaram em conjunto uma iniciativa para recuperar fundos roubados das recentes explorações dos pools da Curve. Os protocolos ofereciam uma recompensa de 10% dos fundos apreendidos como recompensa, instando os responsáveis pela exploração a se apresentarem e devolverem os 90% restantes, o que levaria a recompensa a quase US$ 7 milhões.
A oferta veio com a garantia de não haver mais ações legais ou envolvimento da polícia. “Queremos resolver isso de maneira civilizada”, escreveram os protocolos ao hacker.
Em menos de 24 horas, em 4 de agosto, o invasor original do exploit multimilionário aparentemente aceitou a oferta de recompensa e começou a devolver os fundos roubados alguns dias antes. O hacker enviou de volta 4.820,55 Alchemix ETH (alETH), no valor de aproximadamente US$ 8.889.118, para a equipe Alchemix Finance, bem como 1 ETH, aproximadamente US$ 1.844, para a equipe Curve Finance.
O invasor também postou uma mensagem que parece ter sido dirigida às equipes Alchemix e Curve, afirmando estar disposto a devolver os fundos, mas apenas porque a pessoa não queria “estragar” os projetos envolvidos e não porque o invasor foi pego.
Um total de US$ 8,9 milhões em criptomoeda foi devolvido no momento da redação deste artigo, equivalente a aproximadamente 15% do valor total drenado.
Reportagem adicional de Amaka Nwaokocha, Ezra Reguerra, Martin Young, Nivesh Rustgi, Prashant Jha, Tom Blackstone e Zhiyuan Sun.