Na manhã desta segunda-feira, o token nativo da Curve DAO (CRV) caiu mais de 16% após a exchange descentralizada (DEX) Curve sofrer um grande ataque no fim de semana. A vulnerabilidade foi confirmada no dia 30 e ocorreu devido a uma falha na linguagem de programação Vyper.
Ataque causado por falha de linguagem
A Curve Finance, assim como outros projetos DeFi, depende de diferentes softwares descentralizados construídos sobre a tecnologia blockchain. A vulnerabilidade ocorreu em uma versão específica da linguagem de programação Vyper da Curve.
A empresa explicou que alguns dos stablepools (alETH/msETH/pETH) usando a versão Vyper 0.2.15 foram atacados devido a um bloqueio de reentrância com defeito. No entanto, outros pools estão seguros, e os contratos crvUSD e relacionados permanecem inalterados.
Hacker rouba 22 milhões de tokens CRV
Conforme as estimativas da Curve, o hacker roubou 22 milhões de tokens, equivalente ao valor roubado de US$ 20 milhões (cerca de R$ 100 milhões em valores atuais). No entanto, logo após o ataque, o hacker devolveu US$ 5,4 milhões (mais de R$ 26 milhões), correspondendo a pouco mais de 25% do valor roubado, em ETH, totalizando mais de 2.800 ETH devolvidos.
Token CRV enfrenta pressão de venda
Após o ataque, o preço do token CRV sofreu uma grande pressão de venda. No momento do anúncio do ataque, o CRV estava sendo negociado com uma queda de 16%, a um preço de US$ 0,6135, com um valor de mercado de US$ 545 milhões.
Prejuízos estimados
A BlockSec, empresa que verifica a segurança de software de criptomoedas, acredita que o ataque resultou em perdas de mais de US$ 40 milhões. Segundo Tarun Chitra, CEO da Gauntlet, empresa que avalia riscos em criptomoedas, o invasor conseguiu levar cerca de US$ 20 milhões em CRV e uma versão do ETH.
Impacto na DeFi e Aave
A Curve Finance é a maior exchange do ecossistema DeFi depois da Uniswap. O serviço de empréstimo descentralizado da Aave utiliza o token CRV como garantia. Apesar do ataque, Chitra afirmou que não observou indícios de “empréstimos ruins” na plataforma Aave causados pela queda do CRV.