Os atacantes exploraram uma vulnerabilidade em alguns dos pools de liquidez do Curve, o popular protocolo financeiro descentralizado (DeFi). A vulnerabilidade foi rastreada até ao Vyper, uma linguagem de programação alternativa para os contratos inteligentes Ethereum.
De facto, vários pools do Curve que usavam Vyper foram explorados, resultando em perdas estimadas em 41 milhões de dólares, de acordo com a empresa de segurança BlockSec. De facto, as versões 0.2.15, 0.2.16 e 0.3.0 do Vyper foram consideradas vulneráveis a um ataque de reentrada.
Em termos concretos, isso ocorre quando uma função de contrato inteligente faz uma chamada externa para outro contrato inteligente não confiável. Este último faz então uma chamada recursiva à função original para drenar fundos. Como o contrato inteligente não actualiza o seu estado antes de enviar os fundos, o atacante pode chamar continuamente a função de levantamento para drenar os fundos.
De acordo com uma análise efectuada pela empresa de segurança Ancilia, 136 contratos inteligentes utilizaram o Vyper 0.2.15, 98 contratos inteligentes utilizaram o Vyper 0.2.16 e 226 contratos inteligentes utilizaram o Vyper 0.3.0:
Fizemos uma pesquisa rápida no github.
136 contratos encontrados compilados com o vyper 0.2.15 e usaram proteção reentrante;
98 contratos encontrados com a versão 0.2.16
226 contratos encontrados com a versão 0.3.0– Ancilia, Inc (@AnciliaInc) 30 de julho de 2023
Como resultado, vários pools foram completamente drenados de liquidez:
- Pool de CRV-ETH da Curve: perda de 14 milhões de dólares
- Pool de alETH-ETH daAlchemix: perdas de 13,66 milhões de dólares;
Pool de pETH-ETH da - JPEG: perdas de 11,4 milhões de dólares;
Pool de sETH-ETH da Metronome: perdas de 1,6 milhões de dólares.
No Twitter, a Vyper explicou que o mau funcionamento se deveu ao compilador da linguagem de programação, que falhou em alguns casos. Como resultado, as protecções contra os ataques de reentrada não funcionaram.
Após o ataque aos pools da Curve, o preço do CRV começou a cair rapidamente. O CRV caiu de $0,70 para $0,59 no espaço de apenas 60 minutos, uma queda de cerca de 16%:
Evolução do preço do CRV após o ataque
