El domingo 30 de julio de 2023, el mundo de las finanzas descentralizadas se vio sacudido por un importante ataque que explotaba una vulnerabilidad en el lenguaje de programación Vyper utilizado por varios pools de liquidez del protocolo Curve. ¿Cómo consiguieron los atacantes robar más de 41 millones de dólares?
Un fallo en el lenguaje Vyper es el culpable
Los atacantes aprovecharon una vulnerabilidad en algunos de los pools de liquidez de Curve, el popular protocolo de finanzas descentralizadas (DeFi). La vulnerabilidad se ha rastreado hasta Vyper, un lenguaje de programación alternativo para contratos inteligentes de Ethereum.
De hecho, varios de los pools de Curve que utilizaban Vyper fueron explotados, lo que provocó pérdidas estimadas en 41 millones de dólares, según la empresa de seguridad BlockSec. De hecho, se descubrió que las versiones 0.2.15, 0.2.16 y 0.3.0 de Vyper eran vulnerables a un ataque de reentrada.
En concreto, esto ocurre cuando una función de contrato inteligente realiza una llamada externa a otro contrato inteligente no fiable. Este último realiza entonces una llamada recursiva a la función original con el fin de drenar fondos. Como el contrato inteligente no actualiza su estado antes de enviar los fondos, el atacante puede llamar continuamente a la función de retirada para drenar los fondos.
Según un análisis de la empresa de seguridad Ancilia, 136 contratos inteligentes utilizaron Vyper 0.2.15, 98 contratos inteligentes utilizaron Vyper 0.2.16 y 226 contratos inteligentes utilizaron Vyper 0.3.0:
Hemos hecho una búsqueda rápida en github.
136 contratos encontrados compilados con vyper 0.2.15 y usaban protección reentrante;
98 contratos encontrados con la versión 0.2.16
226 contratos encontrados con la versión 0.3.0– Ancilia, Inc (@AnciliaInc) 30 de julio de 2023
Como resultado, varios fondos han quedado completamente vacíos de liquidez:
- Curve’s CRV-ETH pool: pérdida de 14 millones de dólares
- Piscina alETH-ETH de Alchemix: pérdidas de 13,66 millones de dólares;
fondo de pETH-ETH de - JPEG: pérdidas de 11,4 millones de dólares;
fondo de sETH-ETH de Metronome: pérdidas de 1,6 millones de dólares.
En Twitter, Vyper explicó que el fallo se debía al compilador del lenguaje de programación, que había fallado en algunos casos. Como resultado, las protecciones contra los ataques de reentrada no funcionaron.
La ficha CRV cae en picado
Tras el ataque a los pools de Curve, el precio de CRV comenzó una rápida caída. CRV cayó de 0,70 a 0,59 dólares en el espacio de sólo 60 minutos, una caída de alrededor del 16%:
Evolución del precio del CRV tras el ataque
