Una serie de stablepools (alETH/msETH/pETH) que utilizan Vyper 0.2.15 han sido explotados como resultado de un mal funcionamiento del bloqueo de reentrada. Estamos evaluando la situación e informaremos a la comunidad a medida que se desarrollen los acontecimientos.
Los demás pools están a salvo. https://t.co/eWy2d3cDDj
– Curve Finance (@CurveFinance) 30 de julio de 2023
Los pools de liquidez son contratos inteligentes que mantienen tokens, y pueden proporcionar liquidez a los mercados de criptomonedas de una manera que no depende de intermediarios financieros. Pero, como varios proyectos aprendieron el domingo, una pequeña falla puede producir pérdidas sustanciales.
Según la empresa de seguridad financiera descentralizada Decurity, se robaron 11 millones de dólares en criptomonedas del protocolo de préstamo NFT JPEG’d. JPEG’d fue de los primeros en identificar un problema con su fondo común en Curve.
«Hubo un ataque», dijo JPEG’d en Twitter. «Hemos estado investigando el problema desde el momento en que nos enteramos y […] el problema parece estar relacionado con el pool de Curve».
JPEG’d permite a los usuarios depositar NFT como garantía para préstamos. En términos de activos depositados en JPEG’d, el protocolo tiene un valor total bloqueado (TVL) de unos 32 millones de dólares. JPEG’d afirmó que el código responsable de custodiar los NFT y los fondos de tesorería no se vio afectado.
El token de gobernanza del protocolo JPEG había bajado un 23% en el momento de escribir estas líneas, según datos de CoinGecko. El domingo, la moneda rozó un mínimo histórico de 0,000347 dólares.
En un tuit ahora eliminado, Curve describió inicialmente la vulnerabilidad como un ataque de «reentrada» de solo lectura que podría haberse evitado. Un ataque de reentrada se produce cuando un contrato inteligente interactúa con otro contrato, que a su vez devuelve la llamada al primer contrato antes de ejecutarse por completo.
Las vulnerabilidades de reentrada permiten a un atacante realizar varias llamadas en una sola función y engañar a un contrato inteligente para que calcule saldos indebidos. Uno de los ejemplos más destacados fue el hackeo del DAO de Ethereum por valor de 55 millones de dólares en 2016.
Sin embargo, en respuesta a una cuenta de Twitter que retuiteó la declaración borrada más tarde, Curve dijo que su impresión inicial era errónea.
«Sí, no es de solo lectura», dijo Curve, añadiendo que no había «ninguna fechoría por parte de los proyectos que lo integraron, o incluso de los usuarios de vyper»
Sí, no sólo leer. No wrongdoing on the side of the projects who integrated, or even users of vyper here
– Curve Finance (@CurveFinance) July 30, 2023
Los ataques de reentrada son un vector demasiado común para que los atacantes se apropien de los protocolos, explicó a TCN Meir Dolev, cofundador y director técnico de la empresa de ciberseguridad Cyvers.
«Son bastante comunes», afirma Dolev. «Y es posible evitarlos con el diseño y el desarrollo adecuados».
El problema no era específico de JPEG’d. No mucho después de que se explotara el protocolo de préstamo NFT, Alchemix y Metronome DAO perdieron 13,6 millones de dólares y 1,6 millones de dólares respectivamente de forma similar, dijo.
Alchemix reconoció en Twitter que está trabajando activamente para solucionar un problema con su fondo de liquidez. MetronomeDAO dijo en Twitter que su investigación de lo sucedido está en curso, describiendo el ataque como «parte de un conjunto más amplio de exploits.»
En el caso de JPEG’d, el atacante fue adelantado por un bot de valor máximo extraíble (MEV), dijo Dolev. El bot identificaba la transacción del posible atacante y pagaba una comisión por ejecutar una transacción similar antes que él.
Vyper dijo en Twitter que era el compilador del lenguaje de programación el que había fallado. Cuando un desarrollador termina de escribir un código, lo compila de un formato legible por humanos a un formato que los ordenadores puedan ejecutar.
Según Dolev, esto impidió que funcionaran las protecciones de reentrada, incluidas en el código de los proyectos y que deberían proteger contra los ataques de reentrada.
«En algunas versiones, el compilador no compilaba correctamente», explicó Dolev. «Tiene algunos errores o fallos».
