A Curve Finance, segunda maior corretora descentralizada de criptomoedas, foi vítima de um grande hack neste final de semana. A estimativa das perdas está na casa dos R$ 330 milhões, mas parte dos fundos já foi recuperada.
Como consequência, o token Curve DAO (CRV) está operando em queda de 14% nesta segunda-feira (31) e outras corretoras já começaram a pausar depósitos da criptomoeda ligada ao projeto.
Por outro lado, o token UNI, ligado à Uniswap, está em alta de 2% no mesmo período, indicando que traders estão mostrando apoio à rival da Curve.
Protocolo DeFi é hackeado, parte dos fundos é recuperada
Segundo informações da própria equipe da Curve Finance, a vulnerabilidade que levou ao hack milionário estava no Vyper, linguagem de programação usada no código da corretora descentralizada.
“Um número de stablepools (alETH/msETH/pETH) usando Vyper 0.2.15 foi explorado como resultado de um bloqueio de reentrância com defeito. Estamos avaliando a situação e atualizaremos a comunidade à medida que as coisas se desenvolverem.”
A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.
Other pools are safe. https://t.co/eWy2d3cDDj
— Curve Finance (@CurveFinance) July 30, 2023
Embora a Curve não tenha confirmado o valor subtraído no ataque, analistas apontam que a soma pode estar na casa dos US$ 70 milhões (R$ 330 milhões), atingindo outros atores do setor.
“Parece ser US$ 70 milhões no momento” escreveu um especialista no Twitter, também destacando para recuperações de uma porção das moedas. “Muita atividade whitehat + bots MEV automatizados, será interessante ver o que foi roubado por operadores intencionalmente maliciosos e o que foi devolvido.”
Seguindo, o perfil também destacou uma troca de mensagens on-chain entre a Curve e um dos whitehats que interceptou uma das transações. Ao que tudo indica, parte do montante já foi devolvida ao projeto.
“Uma transação que você pegou foi um hack da pool CRV/ETH. Pode reembolsar?”, questionou a Curve.
“Sim, favor me enviar uma maneira de entrar em contato através do chat da EtherScan”, respondeu c0ffeebabe.
Token CRV em queda, corretoras pausam depósitos e saques
Enquanto isso, o token Curve DAO (CRV) está apresentando o pior desempenho do dia entre as 100 maiores criptomoedas do mercado. No momento, o CRV está em queda diária de 14%, negociado a US$ 0,62.
Preocupadas com o tamanho do hack e suas consequências, outras corretoras já começaram a pausar operações ligadas ao CRV. Em comunicado postado neste domingo (30), a Upbit anunciou a suspensão de depósitos e saques de CRV, recomendando atenção dos investidores.
“Hoje, certas vulnerabilidades foram descobertas em algumas das pools de stablecoin associados ao Curve (CRV)”, escreveu a Upbit. “Como resultado, o CRV está atualmente experimentando uma volatilidade significativa. Aconselhamos cautela ao considerar quaisquer investimentos relacionados ao CRV.”
Por fim, a Curve está recomendando a migração de contratos para versões mais atualizadas do Vyper, acreditando que isso resolva o problema. Outras partes estão tentando recuperar o restante dos fundos perdidos no ataque.
