A exchange descentralizada (DEX) Curve sofreu um grande ataque no fim de semana que causou um roubo de US$ 20 milhões, ou R$ 100 milhões em valores atuais. Como resultado, o preço do token nativo da Curve DAO (CRV) caiu mais de 16% na manhã desta segunda-feira.
O ataque foi confirmado ainda no dia 30 e ocorreu por causa de uma linguagem de programação conhecida como “Vyper”. De acordo com um tuíte, o perfil oficial da linguagem confirmou a falha.
“As versões 0.2.15, 0.2.16 e 0.3.0 do Vyper são vulneráveis a bloqueios de reentrância com defeito. A investigação está em andamento, mas qualquer projeto que dependa dessas versões deve entrar em contato conosco imediatamente”, disse.
Falha de linguagem
De acordo com informações, a falha foi causada por uma vulnerabilidade na linguagem de programação. Semelhante a outros projetos DeFi, a Curve Finance depende de diferentes softwares descentralizados construídos sobre a tecnologia blockchain.
Em um tuíte, a Curve explicou mais detalhes a respeito da falha. De acordo com a empresa, o ataque aconteceu em uma versão específica da linguagem de programação Vyper da Curve.
Confira nossas sugestões de Pre-Sales para investir agora
“Um número de stablepools (alETH/msETH/pETH) usando Vyper 0.2.15 foi atacado como resultado de um bloqueio de reentrância com defeito. Estamos avaliando a situação e atualizaremos a comunidade à medida que as coisas se desenvolverem. Outros pools estão seguros”, disse a Curve.
A Curve Finance forneceu mais esclarecimentos, enfatizando o fator crítico que levou ao problema – a combinação da versão Vyper afetada e o uso de Ether (ETH) puro. Eles também esclareceram que os contratos crvUSD e pools relacionados permanecem inalterados.
Conforme as estimativas da Curve, o hacker roubou 22 milhões de tokens, o que corresponde ao valor roubado. Mas o hacker devolveu US$ 5,4 milhões logo depois do ataque, o que corresponde a cerca de R$ 26 milhões e pouco mais de 25% do valor roubado. A devolução ocorre em ETH, o que resultou em mais de 2.800 ETH devolvidos.
- Leia também: PancakeSwap é lançada na ZkSync Era
Token da Curve chega a cair 16%
Logo após a notícia do ataque, o preço do CRV ficou sob grande pressão de venda. No momento do anúncio do ataque, o token CRV está sendo negociado com queda de 16% a um preço de US$ 0,6135 e um valor de mercado de US$ 545 milhões.
A BlockSec, uma empresa que verifica a segurança do software de criptomoedas, acredita que o ataque resultou em perdas de mais de US$ 40 milhões. De acordo com Tarun Chitra, CEO da Gauntlet, empresa que avalia riscos em criptomoedas, o invasor conseguiu levar cerca de US$ 20 milhões em CRV e uma versão do ETH.
A Curve Finance é a maior exchange do ecossistema DeFi depois da Uniswap. O serviço de empréstimo descentralizado da Aave utiliza o token CRV como garantia. Chitra, da Gauntlet, também afirmou que não observou indícios de “empréstimos ruins” na plataforma Aave causados pela queda do CRV.