A empresa de liquidez de ativos do mundo real (RWA), Curio, sofreu uma exploração de contrato inteligente envolvendo uma vulnerabilidade crítica relacionada aos privilégios de poder de voto, permitindo que o invasor roubasse US$ 16 milhões em ativos digitais.
Curio alertou sua comunidade sobre a exploração e destacou que está lidando com a situação. A empresa disse que um contrato inteligente baseado no MakerDAO usado dentro da Curio foi violado.
No entanto, a empresa assegurou aos seus usuários que a exploração afetou apenas o lado Ethereum e que todos os contratos da Polkadot e da Curio Chain permaneceram seguros.
A empresa de segurança Web3, Cyvers, estimou que as perdas com a exploração são de cerca de US$ 16 milhões. A empresa de segurança disse que a exploração envolvia uma "vulnerabilidade lógica de acesso de permissão".
Em 25 de março, a Curio publicou uma análise pós-incidente da exploração e um plano de compensação para os usuários afetados. No relatório, a Curio destacou que o problema foi uma falha no controle de acesso de privilégios de poder de voto.
Com isso, o invasor adquiriu um pequeno número de tokens de Governança Curio (CGT), permitindo-lhes acessar e aumentar seu poder de voto no contrato inteligente do projeto.
Com o poder de voto elevado, o invasor realizou uma série de etapas que, no final, permitiram a execução de ações arbitrárias dentro do contrato DAO da Curio. Isso levou à emissão não autorizada de 1 bilhão de CGT.
No relatório, a Curio afirmou que todos os fundos afetados na exploração serão devolvidos. A equipe disse que lançará um novo token chamado CGT 2.0. Com o novo token, a equipe prometeu restituir 100% dos fundos para os detentores de CGT.
Para os provedores de liquidez, a Curio disse que conduzirá um programa de compensação de fundos. A equipe afirmou que será pago em quatro etapas, com cada etapa durando 90 dias. Isso pode significar que o pagamento completo potencialmente poderia levar um ano. Eles escreveram:
"O programa de compensação consistirá em 4 etapas consecutivas, cada uma com duração de 90 dias. Durante cada etapa: a compensação será paga em USDC/USDT, correspondendo a 25% das perdas incorridas pelo segundo token nos pools de liquidez."
A empresa também afirmou que recompensaria hackers éticos que pudessem ajudar na recuperação dos fundos perdidos. A equipe disse que os hackers poderiam receber uma recompensa equivalente a 10% dos fundos recuperados na fase inicial de recuperação.