A Curve Finance sofreu um novo ataque no final de semana. De acordo com dados do PeckShield Alert, um robô de Miner Extractable Value (MEV) sofreu o ataque, causando uma perda de aproximadamente US$ 2 milhões. Ou seja, quase R$ 10 milhões com base na cotação atual.
O incidente, que ocorreu nos pools da Curve, levou a vários grandes swaps e subsequente arbitragem de swap reverso. Com isso, a Curve sofre mais um ataque no intervalo de quase quatro meses.
Atacante manipula pools da Curve
Conforme análise da PeckShield, o ataque ocorreu porque a função de arbitragem, 0xf6ebebbb(…), não tinha autenticação adequada. Isso forneceu uma porta aberta para o invasor manipular trocas de pares em vários pools da Curve.
Esta atividade maliciosa resultou em roubos significativos, causando perdas substanciais às partes afetadas. À medida que a situação se desenrolava, o atacante astuciosamente reverteu os swaps para maximizar os seus lucros. Isso não apenas despistou o ataque, mas também agravou o impacto deste incidente.
O invasor explorou um robô de arbitragem, que realiza compra e venda de tokens. A exploração resultou em uma perda de US$ 2,3 milhões no pool da Curve. O ataque ocorreu após a descoberta de uma falha no pool, que permitiu o hacker acionar uma transação de Wrapped Ether (WETH) para Wrapped Bitcoin (WBTC).
Posteriormente, eles executaram um empréstimo rápido de 27.255 WETH (equivalente a US$ 51,36 milhões), utilizando-o para manipular significativamente a relação de preço WETH/WBTC dentro do pool. Ao desestabilizar o pool, o invasor obrigou o robô a converter 1.339,8 WETH (aproximadamente US$ 2,52 milhões) em 6,95 WBTC (cerca de US$ 244.000).
É importante notar que o proprietário do robô retirou os fundos do contrato antes do ataque. Portanto, este usuário em si não sofreu perdas com o ataque. Mas a manipulação no preço causou perdas em outros usuários do pool.
Curve lida com ataques seguidos
Este não foi um incidente isolado da Curve, já que a plataforma lidou com outros problemas ao longo do ano. Por exemplo, uma série de explorações ocorreu em vários pools de liquidez na Curve Finance em julho, resultando em perdas de aproximadamente US$ 70 milhões.
O incidente levantou preocupações significativas na comunidade de finanças descentralizadas (DeFi). No caso de julho, os ataques ocorreram devido a uma vulnerabilidade no Vyper, uma linguagem de programação utilizada pelos contratos inteligentes Ethereum. Os pools da Curve utilizavam esta linguagem e foram atingidos pela falha.
É importante notar que, após o incidente inicial, tanto hackers éticos como os operadores de robôs MEV colaboraram para recuperar uma parte dos fundos perdidos. Ou seja, o valor final das perdas pode ser menor do que os US$ 2 milhões.
Menos de uma semana após o ataque de julho, o hacker devolveu 4.820 alETH e 2.258 ETH para a Alchemix. Isso totalizou aproximadamente US$ 12,7 milhões.
Em 6 de agosto de 2023, a Curve Finance anunciou via Twitter que o prazo para o hacker devolver voluntariamente os fundos restantes havia terminado. Como resultado, a empresa estendeu sua oferta de recompensa de US$ 1,85 milhão a qualquer pessoa que conseguisse identificar o invasor.
Posts relacionados
Poloniex confirma identidade do hacker e oferece recompensa de US$ 10 milhões
A exchange de criptomoedas Poloniex, que so...
App Trust Wallet está sob investigação nos EUA
O Instituto Nacional de Padrões e Tecnologia (NIST), uma agência dos Estados Unidos, identificou uma potencial vulnerabilidade na versão iOS do “Trust Wallet”, uma c...
Hackers roubam mais de US$ 100 milhões de criptomoedas em fevereiro
Os roubos com criptomoedas voltaram a movimentar grandes somas no mês de fevereiro, de acordo com dados da empresa de segurança PeckShield. No mês pa...
Arkham Intelligence teria explorado falhas de exchanges para roubar dados de usuários
A empresa de inteligência em criptomoedas, Arkham Intelligence, está enfrentando acusações graves após um relatório divulgado pela plataforma de denúncias Crypto Leaks. O relató...
Hackers atacam conta da MicroStrategy e roubam R$ 2 milhões
A MicroStrategy, empresa que possui o maior caixa de Bitcoin (BTC) no mundo, sofreu um ataque em sua conta no X. Hackers invadiram o perfil oficial da empresa e anunciaram o l...
Jogo em blockchain baseado em Solana sofre ataque hacker de R$ 4 milhões
O jogo em blockchain baseado na rede Solana Aurory, inspirado em Pokémon, sofreu um ataque hacker que lhe custou US$ 830.000 em seus tokens nativos. Ou seja, cerca de R$ 4 milhõ...
Falha em chips do MAC permite roubo de criptomoedas
Uma vulnerabilidade recém-identificada nos processadores da série M da Apple pode ter implicações graves para os usuários de criptomoedas, com o potencial de comprometer as chav...
MetaMask eleva proteção com alertas de segurança contra golpes e phishing
A popular carteira de criptomoedas MetaMask anunciou uma parceria com a empresa de segurança Blockaid para introduzir alertas de segurança em sua extensão de navegador. O objeti...
Hacker da Bitfinex ajuda autoridades dos EUA a combaterem outro golpe
Ilya Lichtenstein, o homem por trás do ataque contra a exchange Bitfinex em 2016, agora está do outro lado da lei. De acordo com a Bloomberg, Lichtenstein está ajudando promot...