No domingo (hoje), vários protocolos de finanças descentralizadas foram atacados, resultando no roubo de mais de 24 milhões de dólares em criptomoedas. Os atacantes exploraram uma vulnerabilidade nos pools de liquidez da Curve, uma plataforma de market maker automatizada.
A vulnerabilidade foi rastreada até o Vyper, uma linguagem de programação alternativa e de terceiros para contratos inteligentes do Ethereum, de acordo com a Curve no Twitter. A Curve afirmou que outras pools de liquidez que não utilizam a linguagem estão seguros.
As pools de liquidez são contratos inteligentes que detêm tokens e podem fornecer liquidez aos mercados de criptomoedas de uma forma que não depende de intermediários financeiros. No entanto, como vários projetos descobriram no domingo, uma pequena falha pode resultar em perdas substanciais.
JPEG’d, Metronome e Alchemix afetados
De acordo com os analistas de segurança da Beosin, o atacante visou as pools de fábrica (factory pools) da Curve de vários projetos: JPEG’d, Metronome e Alchemix. A pool de fábrica pETH-ETH da JPEG’d na Curve viu uma saída de US$11,4 milhões. Logo em seguida, o pool sETH-ETH da Metronome viu um movimento de US$ 1,6 milhões. No entanto, foi o pool alETH-ETH da Alchemix que testemunhou a atividade mais significativa, com um substancial US$ 13,6 milhões sendo transacionados.
Vulnerabilidades da versão Vyper
As saídas de hoje envolveram uma sequência de interações. Elas começaram com um flashloan, que parecia explorar a vulnerabilidade de reentrância associada a certas versões mais antigas do compilador Vyper – a linguagem de programação de contratos inteligentes usada para escrever o código para esses pools de fábrica, conforme explicado por Igor Igamberdiev, chefe de pesquisa da Wintermute.
O Vyper reconheceu que suas versões 0.2.15, 0.2.16 e 0.3.0 são vulneráveis a travas de reentrância com mau funcionamento, com investigações em andamento. Enquanto a reação imediata foi dominada por preocupações de uma grande violação de segurança, os dados on-chain sugerem que os bots MEV podem ter se antecipado a algumas dessas transações. Isso levou a especulações de que hackers whitehat poderiam estar envolvidos.
‘Estamos realizando uma grande operação de resgate de white hat. Por favor, entre em contato se você acha que está afetado como um projeto’, anunciou no Twitter um pesquisador de segurança que usa o pseudônimo ‘pcaversaccio’.
