Vários protocolos financeiros descentralizados foram atingidos no domingo por invasores que roubaram mais de US $ 24 milhões em criptografia. Os invasores aproveitaram uma vulnerabilidade em pools de liquidez no Curve, a plataforma automatizada de criação de mercado.
A vulnerabilidade foi rastreada até Vyper, uma linguagem de programação alternativa de terceiros para contratos inteligentes Ethereum, de acordo com Curve no Twitter. Curve disse que outros pools de liquidez que não alavancam a linguagem estão bem
Um número de stablepools (alETH/msETH/pETH) usando Vyper 0.2.15 foi explorado como resultado de um bloqueio de reentrada com mau funcionamento. Estamos a avaliar a situação e iremos atualizar a comunidade à medida que as coisas evoluem.
Outros pools estão seguros. https://t.co/eWy2d3cDDj
– Curve Finance (@CurveFinance) 30 de julho de 2023
Os pools de liquidez são contratos inteligentes que detêm tokens e podem fornecer liquidez aos mercados de criptografia de uma forma que não depende de intermediários financeiros. Mas, como vários projetos aprenderam no domingo, uma pequena falha pode gerar perdas substanciais.
O valor de US $ 11 milhões em criptomoedas foi roubado do protocolo de empréstimo NFT JPEG’d, de acordo com a empresa de segurança financeira descentralizada Decurity. JPEG’d foi um dos primeiros a identificar um problema com seu pool no Curve.
“Houve um ataque”, disse JPEG’d no Twitter. “Estamos investigando o problema no momento em que fomos informados e […] o problema parece estar relacionado ao pool Curve.”
O JPEG’d permite que os usuários publiquem NFTs como garantia para empréstimos. Em termos de activos depositados no JPEG’d, o protocolo tem um valor total bloqueado (TVL) de cerca de 32 milhões de dólares. JPEG’d disse que o código responsável pela guarda de NFTs e fundos de tesouraria não foi afetado.
O token de governança do protocolo JPEG caiu 23% no momento da redação deste artigo, de acordo com dados da CoinGecko. No domingo, a moeda raspou por uma baixa de todos os tempos de $ 0.000347.
Em um Tweet agora excluído, Curve inicialmente descreveu a vulnerabilidade como um ataque de “reentrada” comum, somente leitura, que poderia ter sido evitado. Um ataque de reentrada acontece quando um contrato inteligente interage com outro contrato, que por sua vez chama de volta ao primeiro contrato antes de ser totalmente executado.
As vulnerabilidades de reentrada permitem que um invasor faça várias chamadas em uma única função e engane um contrato inteligente para calcular saldos impróprios. Um dos exemplos mais proeminentes foi o hack de $55 milhões de 2016 do DAO no Ethereum.
Respondendo a uma conta do Twitter que reprisou a declaração apagada mais tarde, no entanto, Curve disse que sua impressão inicial estava errada.
“Sim, não apenas para leitura”, disse Curve, acrescentando que “não houve irregularidades por parte dos projetos que se integraram, ou mesmo dos usuários do vyper.”
Sim, não apenas para leitura. Não há qualquer irregularidade por parte dos projectos que integraram, ou mesmo dos utilizadores do vyper aqui
– Curve Finance (@CurveFinance) 30 de julho de 2023
Os ataques de reentrada são um vetor muito comum para os atacantes furtarem protocolos, disse Meir Dolev, cofundador e CTO da empresa de cibersegurança Cyvers, à TCN.
“Eles são bastante comuns”, disse Dolev. “E é possível evitá-los com o design e o desenvolvimento adequados”.
O problema não era específico do JPEG’d. Não muito depois que o protocolo de empréstimo NFT foi explorado, Alchemix e Metronome DAO perderam $ 13,6 milhões e $ 1,6 milhão, respetivamente, de maneira semelhante, disse ele.
A Alchemix reconheceu no Twitter que está trabalhando ativamente para corrigir um problema com seu pool de liquidez. MetronomeDAO disse no Twitter que sua investigação sobre o que aconteceu está em andamento, descrevendo o ataque como “parte de um conjunto mais amplo de exploits”.
No caso do JPEG’d, o atacante foi atacado por um bot de valor máximo extraível (MEV), disse Dolev. O bot identificou a transação do potencial atacante e pagou uma taxa para executar uma transação semelhante antes dele.
Vyper disse no Twitter que foi o compilador da linguagem de programação que falhou. Quando um programador termina de escrever o código, este é compilado a partir de um formato legível por humanos para uma forma que os computadores podem executar.
Isto impediu que as protecções de reentrada – protecções que estavam incluídas no código dos projectos e que deveriam proteger contra ataques de reentrada – funcionassem, disse Dolev.
“O compilador, em algumas versões, não conseguiu compilá-lo da forma correcta”, disse Dolev. “Tem alguns bugs ou falhas. “
