Em 30 de julho, várias pools de liquidez da Curve Finance foram atacadas devido a uma vulnerabilidade encontrada na linguagem de programação Vyper. Vyper é uma linguagem de contrato criada para a Máquina Virtual Ethereum (EVM).
A Curve Finance é um dos principais protocolos de finanças descentralizadas (DeFi) devido aos seus serviços essenciais de liquidez, e a vulnerabilidade de código colocou quase US$ 100 milhões em ativos digitais em risco.
A vulnerabilidade foi encontrada nas versões 0.2.15, 0.2.16 e 0.3.0, levando a um malfuncionamento do bloqueio de reentrância. Como resultado, milhões foram retirados de quatro pools do Curve, nomeadamente aETH/ETH, msETH/ETH, pETH/ETH e CRV/ETH. A falha em três de suas variantes pode afetar diversos outros protocolos.
Observe que esse problema de reentrância está associado ao uso de 'use_eth', o que poderia colocar os pools relacionados ao WETH em risco! @CurveFinance, envie-nos um DM se precisar de ajuda. https://t.co/vjc1RRce7w pic.twitter.com/Wz8DXJZK7Y
— BlockSec (@BlockSecTeam) 30 de julho de 2023
O preço do token nativo do Curve Finance (CRV) entrou em colapso no mercado DeFi devido à drenagem significativa de várias piscinas; no entanto, ele foi eventualmente salvo pelo preço fornecido pelas exchanges centralizadas. O preço do CRV atingiu US$ 0,086 em exchanges descentralizadas, mas foi negociado a US$ 0,60 em exchanges centralizadas (CEXs), evitando que o preço do token entrasse em colapso para zero.
As pools do Curve usam o sistema Oracle da Chainlink, que incorpora vários feeds de preços, incluindo exchanges centralizadas. Se não fosse pelo feed de preços das CEXs, a Curve Finance teria colapsado. Este incidente irônico chamou a atenção de Changpeng Zhao, CEO da Binance, que riu do fato de que, no final das contas, foi o feed de preços de uma CEX que salvou o protocolo DeFi.
Zhao observou que a vulnerabilidade do Vyper não impactou a Binance, pois a exchange de criptomoedas atualizou o código para a versão mais recente. Ele também lembrou a importância das atualizações das bibliotecas de código.
O feed de preços CEX economiza o DeFi. ♂️
Os usuários da Binance não são afetados. Nossa equipe verificou a vulnerabilidade reentrante do Vyper. Usamos apenas a versão 0.3.7 ou superior.
É importante manter-se atualizado com bibliotecas de código, aplicativos e sistema operacional. E fique #SAFU https://t.co/0GFv86KP9R
— CZ Binance (@cz_binance) 31 de julho de 2023
O bug nas versões anteriores do código Vyper acredita-se ter pelo menos 1,5 anos, e o explorador acredita-se ter cavado fundo no histórico de lançamentos para encontrar um problema explorável para um grande protocolo com milhões de dólares em jogo. Um contribuinte do programa Vyper no X (Twitter) sugeriu que a quantidade de tempo e recursos investidos no exploit indica que pode ser um ataque patrocinado pelo estado.
Colecione este artigo como NFT para preservar este momento da história e mostrar seu apoio ao jornalismo independente no espaço cripto.
VEJA MAIS: