Uma exploração de fim de semana que visava o Curve Finance está abalando a confiança nas finanças descentralizadas.

O protocolo DeFi viu vários de seus pools de liquidez serem explorados no domingo como resultado de um bug em contratos inteligentes que usam versões da linguagem de codificação Vyper. Os invasores roubaram US$ 24 milhões e vários pools de stablecoin usando contratos Vyper foram drenados devido a uma vulnerabilidade de reentrada.

O token Curve DAO caiu mais de 12% nas últimas 24 horas para US$ 0,63 , de acordo com a CoinGecko . Um pesquisador que atende pela Ignas Defi Research disse que a queda sinalizou uma ruptura de confiança nas finanças descentralizadas.
“A confiança no DeFi é definitivamente abalada, se um protocolo que funcionou sem problemas por três anos for explorado, isso nos faz questionar o quão seguros são outros protocolos de primeira linha como Aave, Compound ou mesmo Uniswap”, disse Ignas ao The Block . “Já existem preocupações de que o Uniswap v4, com seu design de contrato inteligente monolítico, seria mais arriscado se hackeado, pois todo o dinheiro ficaria instantaneamente vulnerável”.

O hack não foi significativo apenas pelos milhões de dólares em jogo , mas também porque explorou uma vulnerabilidade inesperada no código Vyper.

“A pior coisa sobre o hack do Curve é que isso não é algo que um pesquisador típico teria procurado, eles cavaram fundo em nosso histórico de lançamento para encontrar um problema explorável para um grande protocolo com muitos milhões em jogo, isso levou um tempo significativo para identificar”, disse um dos principais contribuidores da linguagem Vyper .

A exploração do Curve Finance levanta preocupações mais amplas

Ignas disse que a exploração “aumenta a preocupação de que qualquer protocolo compilado com o Vyper possa estar em risco”. O pesquisador enfatizou que os hackers exploraram o compilador Vyper, não os próprios contratos inteligentes da Curve.

“Ninguém estava focando no próprio compilador Vyper, e isso é preocupante porque agora qualquer protocolo compilado com Vyper pode estar em risco”, acrescentou Ignas.

Ignas destacou os $ 100 milhões em liquidações na Aave, Frax e Abracadabra após o ataque. “As liquidações podem deixar esses protocolos com dívidas inadimplentes, o que significa que alguns usuários não poderão sacar seu capital depositado.”

O pesquisador acrescentou que vários protocolos que dependem do Curve, como Frax e Alchemix, dependem da liquidez do CRV para seus ativos synthetix.
Resposta institucional

O hack pode ser um retrocesso para a adoção institucional do DeFi e seu uso em escala. A exploração do Curve Finance vem de um relatório de junho afirmando que US$ 204 milhões foram drenados por meio de hacks e golpes DeFi apenas no segundo trimestre de 2023.

“As instituições podem ser adiadas para depositar capital significativo em DeFi no curto prazo, por exemplo, o Projeto Mariana , envolvendo o BIS Innovation Hub, o Banco da França, a Autoridade Monetária de Cingapura e o Banco Nacional Suíço, estavam explorando o Curve v2 HFMM para on- cadeia de pools de CBDC no atacado. Eles serão cautelosos ao seguir em frente após o hack? O tempo dirá “, acrescentou Ignas.

Ignas disse que o exploit mostrou que mudanças nos compiladores precisam ser auditadas, o que será uma lição cara para a indústria.

“Definitivamente um dia sombrio no DeFi, mas o dinheiro perdido e o vetor de ataque não são letais nem para o Curve nem para o próprio ecossistema DeFi”, acrescentou Ignas.