Curve Finanza prosciugata di 50 milioni di $ mentre il token CRV affonda del 12% nell'ultimo exploit DeFi

Curve, uno scambio di stablecoin al centro della Finanza decentralizzata (DeFi) su Ethereum, è stato vittima di un exploit secondo un tweet dal progetto.

Curve si affida a contratti intelligenti anziché a intermediari per offrire servizi finanziari come prestiti, trading e prestiti di stablecoin agli utenti. I depositanti su Curve guadagnano rendimenti annuali fino al 4% da ONE dei tanti pool sulla piattaforma.

Oltre 100 milioni di $ di Criptovaluta sono a rischio a causa di un bug di "rientranza" in Vyper, un linguaggio di programmazione utilizzato per alimentare parti del sistema Curve. Diversi pool di stablecoin sulla piattaforma, utilizzati per la determinazione dei prezzi e la liquidità su diversi servizi DeFi, sono stati finora prosciugati dagli hacker.

"A causa di un problema nel compilatore Vyper nelle versioni 0.2.15-0.3.0, sono stati hackerati i seguenti pool: CRV/ ETH, aleth/ ETH, mseth/ ETH, peth/ ETH", ha twittato Curve lunedì.

La reentrancy è un bug comune che consente agli aggressori di ingannare uno smart contract effettuando ripetute chiamate a un protocollo per rubare asset. Una chiamata è un'autorizzazione per l'indirizzo dello smart contract a interagire con l'indirizzo del wallet di un utente.

Altri progetti che utilizzano il linguaggio di programmazione Vyper potrebbero condividere la stessa vulnerabilità.

Al momento della stampa non era chiaro quanto fosse stato prosciugato da Curve a seguito dell'attacco. BlockSec, una società di revisione contabile blockchain, ha stimato le perdite totali in oltre 42 milioni di dollari in un'analisi preliminare pubblicata su Twitter. Tarun Chitra, amministratore delegato e fondatore della società di modellazione del rischio Cripto Gauntlet, ha stimato che lo sfruttatore si è portato via circa 20 milioni di dollari di CRV e una versione di ether.

Secondo il suo sito web, Curve gestisce 232 pool diversi, ma sono a rischio solo i pool che utilizzano le versioni 0.2.15, 0.2.16 e 0.3.0 di Vyper, ha affermato mimaklas, un membro del team, in un annuncio su Discord.

Mimaklas ha inoltre affermato che "tutte le piscine interessate sono state prosciugate o sottoposte a white hacking e il team sta valutando la situazione insieme alle squadre interessate".

Altrove, il protocollo di prestito e prestito Aave ha disabilitato la sua funzione di prestito CRV nel mezzo del panico. Un enorme debito CRV da 100 milioni di $ del fondatore di Curve Michael Egorov su Aave è prossimo alla liquidazione e se i prezzi CRV dovessero continuare a salire e raggiungere la soglia di liquidazione, i protocolli dovranno liquidare le posizioni CRV .

Whitehat invia fondi; CRV affonda

Curve Finanza è riuscita a recuperare un po' di soldi grazie all'operatore bot 'c0ffeebabe. ETH' che ha restituito 2.879 ETH, per un valore di quasi 5,5 milioni di $ ai prezzi correnti, alla piattaforma. Questi fondi sono stati eticamente rubati all'hacker anticipando la loro transazione dannosa.

La rapina ha destabilizzato i Mercati di trading per il token CRV nativo di Curve DAO, che era in calo del 17% nella giornata a un prezzo di $ 0,61 al momento della stampa. Quell'andamento dei prezzi ha minacciato di Compound il caos forzando potenzialmente una liquidazione del fondatore della posizione di prestito di Curve da $ 70 milioni su Aave.

Nel frattempo, secondo il fornitore di dati DeFiLlama, il valore totale degli asset bloccati su Curve è crollato a 1,7 miliardi di dollari lunedì, rispetto agli oltre 3 miliardi di dollari di domenica, poiché è probabile che il capitale degli investitori sia fuggito dalla borsa.

AGGIORNAMENTO (30 luglio 2023, 21:25 UTC):Aggiunge informazioni aggiuntive.

AGGIORNAMENTO (30 luglio 2023, 09:30 UTC): Aggiornamenti con gli ultimi commenti di Curve, effetti del contagio su Aave, calo del valore di Curve DeFi e spiegazione dell'attacco di rientro.