Varios equipos que bifurcaron el código de Curve Finance están informando de exploits después de que un atacante descubriera una vulnerabilidad en un antiguo compilador del lenguaje de programación Vyper.
Curve Finance es un intercambio descentralizado de swaps estables entre stablecoins y tokens de criptomonedas como Ethereum y Wrapped Ethereum (WETH).
La plataforma fue explotada el domingo por un valor estimado de 52 millones de dólares.
Más allá del daño causado a la propia Curve, el ataque expuso una vulnerabilidad crítica en el ecosistema DeFi en general, que afectaba específicamente a los contratos inteligentes creados con determinadas versiones del lenguaje de programación Vyper.
Esto ha tenido efectos en cadena, dada la prevalencia del uso de Vyper en varios proyectos de criptomonedas, aunque mucho menos que Solidity, según explicó a TCN Michael Lewellan, jefe de arquitectura de soluciones de OpenZeppelin.
Según un tweet del equipo de Vyper, los contratos desarrollados con las versiones 0.2.15, 0.2.16 y 0.3.0 de Vyper son actualmente «vulnerables al mal funcionamiento de los bloqueos de reentrada»
PSA: Las versiones 0.2.15, 0.2.16 y 0.3.0 de Vyper son vulnerables al mal funcionamiento de los bloqueos de reentrada. La investigación está en curso, pero cualquier proyecto que dependa de estas versiones debe ponerse inmediatamente en contacto con nosotros.
– Vyper (@vyperlang) 30 de julio de 2023
El equipo insta encarecidamente a los desarrolladores de otras dApps basadas en Vyper a «solucionar inmediatamente» este problema. «Esto no fue un problema en los protocolos o en el código de las dapps, sino un problema en el propio Vyper, que es un lenguaje EVM minoritario, pero que existe desde hace mucho tiempo», dijo a TCN el desarrollador de soluciones en Open Zeppelin Gustavo Gonzales.
El desarrollador seudónimo de Vyper, señor doggo, sospecha de la implicación de «hackers patrocinados por el Estado» basándose en el nivel de recursos, tiempo y experiencia empleados en ejecutar el hackeo y exponer la vulnerabilidad con contratos inteligentes Curve.
Officer’s Notes, un investigador de seguridad independiente, dijo a TCN que los contratos inteligentes Vyper «pueden ser vulnerables si se cumplen dos condiciones».
La primera, es que el contrato se construya utilizando la versión 0.2.15 de Vyper. En segundo lugar, es que no se implementen en el código las salvaguardas apropiadas para añadir y eliminar liquidez.
Cierto tipo de pool de fábrica de curvas está sufriendo un ataque de reentrada de sólo lectura y causando una pérdida total de 11 millones de dólares(@JPEGd_69) + 13 millones de dólares(@AlchemixFi) + …
La investigación inicial encontró que el compilador vyper (0.2.15) no implementa la guardia de reentrada correctamente.
add_liquidity y… pic.twitter.com/avaHdtSFsm
– Tony KΞ (@tonyke_bot) 30 de julio de 2023
Otro problema que puede haber acelerado los daños del exploit fue que los detalles del fallo se publicaron en Twitter antes de que el exploit hubiera sido mitigado.
Esto provocó «algunas reacciones negativas debido a la posibilidad de que esta información se utilizara para otros ataques», explicó Lewellan a TCN. «En la comunidad de seguridad de ETH existe la preocupación de que la comunicación de los fallos debe ser más discreta».
Curve forks report exploits
Las bifurcaciones del protocolo Curve en otras cadenas también están apareciendo con informes de exploits similares.
Ellipsis Finance, una bifurcación autorizada de Curve con 6,5 millones de dólares en depósitos totales, según datos de DeFiLlama, tuiteó esta mañana que un «pequeño número de stablepools con BNB» fueron explotados.
Un pequeño número de stablepools con BNB utilizando un antiguo compilador Vyper han sido explotados.
Estamos evaluando la situación y mantendremos informada a la comunidad de cualquier novedad. https://t.co/pxkhRRSr5w
– Ellipsis (@Ellipsisfi) 30 de julio de 2023
El equipo de Curve Finance también dijo que el pool Tricrypto -compuesto por USDT, WBTC y ETH- en el despliegue de Curve en la solución de capa 2 Arbitrum también estaba «potencialmente afectado», pero aún no había sido explotado.
Auxo DAO, un fondo descentralizado de explotación de rendimientos con depósitos totales por valor de 5,4 millones de dólares, decidió retirar liquidez de los fondos de Curve y Convex Finance para «mitigar los riesgos de contagio».
Para mitigar los riesgos de contagio, todas las posiciones se han retirado rápidamente de Curve / Convex hasta nuevo aviso.
La exposición de tesorería al pool @AlchemixFi alETH/ETH es de 429,6 ETH. Estamos monitoreando la situación, más información pronto. https://t.co/wewmvWavwM
– Auxo (@AuxoDAO) 30 de julio de 2023
Convex Finance es una aplicación DeFi que ofrece una estrategia de optimización del rendimiento para los tokens CRV de Curve, con depósitos totales por valor de 1.382 millones de dólares, según datos de DefiLlama. Su liquidez se ha desplomado un 52,5% desde los 2.910 millones de dólares desde ayer tras la hazaña de Curve.
Cuenta con 298,3 millones de tokens CRV, según un panel de Dune, lo que representa un tercio de la oferta circulante de CRV.