A Curve Finance sofreu um novo ataque no final de semana. De acordo com dados do PeckShield Alert, um robô de Miner Extractable Value (MEV) sofreu o ataque, causando uma perda de aproximadamente US$ 2 milhões. Ou seja, quase R$ 10 milhões com base na cotação atual.
O incidente, que ocorreu nos pools da Curve, levou a vários grandes swaps e subsequente arbitragem de swap reverso. Com isso, a Curve sofre mais um ataque no intervalo de quase quatro meses.
Atacante manipula pools da Curve
Conforme análise da PeckShield, o ataque ocorreu porque a função de arbitragem, 0xf6ebebbb(…), não tinha autenticação adequada. Isso forneceu uma porta aberta para o invasor manipular trocas de pares em vários pools da Curve.
Esta atividade maliciosa resultou em roubos significativos, causando perdas substanciais às partes afetadas. À medida que a situação se desenrolava, o atacante astuciosamente reverteu os swaps para maximizar os seus lucros. Isso não apenas despistou o ataque, mas também agravou o impacto deste incidente.
O invasor explorou um robô de arbitragem, que realiza compra e venda de tokens. A exploração resultou em uma perda de US$ 2,3 milhões no pool da Curve. O ataque ocorreu após a descoberta de uma falha no pool, que permitiu o hacker acionar uma transação de Wrapped Ether (WETH) para Wrapped Bitcoin (WBTC).
Posteriormente, eles executaram um empréstimo rápido de 27.255 WETH (equivalente a US$ 51,36 milhões), utilizando-o para manipular significativamente a relação de preço WETH/WBTC dentro do pool. Ao desestabilizar o pool, o invasor obrigou o robô a converter 1.339,8 WETH (aproximadamente US$ 2,52 milhões) em 6,95 WBTC (cerca de US$ 244.000).
É importante notar que o proprietário do robô retirou os fundos do contrato antes do ataque. Portanto, este usuário em si não sofreu perdas com o ataque. Mas a manipulação no preço causou perdas em outros usuários do pool.
Curve lida com ataques seguidos
Este não foi um incidente isolado da Curve, já que a plataforma lidou com outros problemas ao longo do ano. Por exemplo, uma série de explorações ocorreu em vários pools de liquidez na Curve Finance em julho, resultando em perdas de aproximadamente US$ 70 milhões.
O incidente levantou preocupações significativas na comunidade de finanças descentralizadas (DeFi). No caso de julho, os ataques ocorreram devido a uma vulnerabilidade no Vyper, uma linguagem de programação utilizada pelos contratos inteligentes Ethereum. Os pools da Curve utilizavam esta linguagem e foram atingidos pela falha.
É importante notar que, após o incidente inicial, tanto hackers éticos como os operadores de robôs MEV colaboraram para recuperar uma parte dos fundos perdidos. Ou seja, o valor final das perdas pode ser menor do que os US$ 2 milhões.
Menos de uma semana após o ataque de julho, o hacker devolveu 4.820 alETH e 2.258 ETH para a Alchemix. Isso totalizou aproximadamente US$ 12,7 milhões.
Em 6 de agosto de 2023, a Curve Finance anunciou via Twitter que o prazo para o hacker devolver voluntariamente os fundos restantes havia terminado. Como resultado, a empresa estendeu sua oferta de recompensa de US$ 1,85 milhão a qualquer pessoa que conseguisse identificar o invasor.