El ataque de piratería al conocido DEX de Ethereum generó una serie de desarrollos, incluida una disparidad en los precios de CRV en los exchanges y el aumento en las ganancias de los bots MEV.
***
- Curve Finance sufrió un ataque de piratería que provocó pérdidas de más de USD $40 millones
- Se produjo por una vulnerabilidad en los contratos inteligentes de Vyper
- Hacker éticos salvaron parte de los fondos comprometidos
- El evento benefició a los bots MEV, generando un aumento sin precedentes en los incentivos MEV
- CRV, el token de Curve, cayó en picada, pero se elevó en algunos exchanges de Corea del Sur
Una hazaña de piratería a Curve Finance ha generado ansiedad en el espacio de criptomonedas.
Curve Finance, un popular intercambio descentralizado (DEX) y un importante jugador en el ecosistema de finanzas descentralizadas (DeFi), se convirtió en la víctima de una explotación el domingo, cuando varios de sus fondos de liquidez fuesen vaciados como resultado de un error en los contratos inteligentes que usan versiones del lenguaje de programación Vyper.
El equipo del DEX informó a los usuarios sobre la explotación el domingo por la noche, luego de que Vyper reconociera en Twitter que estaba llevando a cabo investigaciones debido a la vulnerabilidad de sus versiones 0.2.15, 0.2.16 y 0.3.0.
A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.
Other pools are safe. https://t.co/eWy2d3cDDj
— Curve Finance (@CurveFinance) July 30, 2023
El ataque inicial tuvo como objetivo los grupos de fábrica de Alchemix, Metronome y JPEGd, todos los cuales sufrieron una falla de seguridad llamada vulnerabilidad de reentrada.
Ataque de piratería a Curve Finance
Esta vulnerabilidad, como explica The Block, es una falla de seguridad crítica que surge cuando la llamada externa de un contrato se interrumpe y se vuelve a llamar antes de que se complete, lo que podría permitir a los atacantes drenar fondos maliciosamente o explotar la lógica del contrato. El ataque provocó pérdidas de decenas de millones de dólares.
Si bien la cantidad exacta robada por los piratas informáticos aún no es clara, BlockSec, una firma de auditoría de Blockchain, estimó pérdidas totales por encima de los USD $42 millones. Los atacantes vaciaron los grupos de liquidez CRV/ ETH; ALETH/ ETH; MESTH/ ETH y PETH/ ETH, según dijo Curve en un tweet.
El hackeo, que puso en riesgo un estimado de más de USD $100 millones en criptomonedas, también habría potencialmente afectado al grupo de liquidez tricrypto de Arbitrum, según advirtieron los desarrolladores, que alentaron a los usuarios a retirar sus fondos.
Curve Finance es un DEX centrado en el comercio eficiente de stablecoins que es ampliamente considerado como la columna vertebral del ecosistema DeFi. Con el tiempo, ha ampliado sus ofertas para atender a otros tipos de activos, y ofrece servicios financieros como préstamos, transacciones y créditos de criptomonedas a los usuarios sin intermediarios.
Los grupos de fábrica hacen referencia a un sistema en el que los usuarios pueden crear grupos de liquidez utilizando un marco estandarizado, en lugar de que Curve cree manualmente cada grupo. Este sistema, como explica The Block, ofrece un enfoque sin permisos, en el que proyectos o individuos pueden lanzar sus propios grupos de liquidez aprovechando la infraestructura de Curve.
Hackers éticos vinieron al rescate
Mientras la plataforma con sede en Ethereum experimentaba salidas millonarias, algunos expertos de ciberseguridad y hackers éticos lucharon para recuperar los fondos.
Un operador de bot MEV identificado con el nombre ENS “c0ffeebababe.eth” devolvió 2.879 ETH, o cerca de USD $5,4 millones, a Curve, como notó la firma de seguridad, PeckShield. El hacker ético pudo adelantarse a un actor malintencionado, asegurando las monedas durante una segunda etapa de la explotación que desvió los fondos de liquidez del grupo CRV/ ETH.
Vale señalar que los bots MEV son un grupo de bots de Ethereum que trabajan para generar ingresos a través de un proceso llamado valor extraíble máximo (MEV). Al reorganizar o insertar transacciones en bloques regulares, crean oportunidades de arbitraje para aumentar las ganancias. Estos bots con frecuencia incentivan a los validadores con grandes cantidades de ETH para priorizar sus transacciones. Esta táctica les proporciona una ventaja en el mempool, permitiéndoles procesar sus transacciones antes que los demás.
Bots de Ethereum generaron ganancias récord
El hackeo a Curve desencadenó una serie de desarrollos, incluido ganancias récord para los bots MEV. Como resultado de la explotación, Ethereum registró uno de los días más lucrativos para los bots MEV, con con un estimado de más de 6.000 ETH o cerca de USD $11 millones, pagados como recompensas de MEV a los validadores, según datos citados por The Block.
El aumento se produjo, en gran parte, debido a que el incidente provocó una batalla entre los piratas informáticos éticos y los maliciosos, como explica ese informe. Ambos grupos terminaron pagando altas recompensas a los bots de MEV para garantizar que sus transacciones fueran aceptadas en nuevos bloques de Ethereum lo antes posible; aunque por motivos diferentes: los primeros para salvaguardar los fondos y los segundos para apropiarse de ellos.
CRV se desplomó, pero repuntó en exchanges de Corea
La hazaña de piratería también desencadenó un movimiento de cascada para el precio de CRV, el token nativo de Curve DAO, que se desplomó el domingo casi 20% tocando un mínimo de USD $0,59.
A pesar de estos eventos, el token repuntó dramáticamente en algunos de los principales intercambios de Corea del Sur, llegando a cotizarse con una prima de hasta 600%, según informes. Desvinculándose de su precio en los demás exchanges globales, CRV alcanzó una altura de aproximadamente USD $4,42 en Bithumb, mientras que se cotizaba a USD $0,81 en la plataforma Upbit.
Ambos intercambios coreanos, así como otras plataformas comerciales, suspendieron los retiros y depósitos de CRV luego de los informes de hackeo. Vale la pena señalar que Bithumb y Upbit son el tercero y cuarto en volumen de operaciones al contado de CRV, respectivamente, a nivel mundial, como informa U.Today.
En comparación, CRV marca actualmente un precio de USD $0,6279 en los principales intercambios, según datos de CoinMarketCap, con una pérdida de 14% en las últimas 24 horas.
Artículo de Hannah Estefanía Pérez / DiarioBitcoin
Imagen editada de Unsplash
ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.