Domenica 30 luglio sono stati eseguiti 5 attacchi informatici distinti al protocollo decentralizzato Curve Finance, con danni da crypto hack stimati per 70 milioni di dollari.
Gli aggressori hanno sfruttato una vulnerabilità della versioni 0.2.15, 0.2.16 e 0.3.0 del linguaggio di programmazione Vyper.
Gli esperti avvertono sul rischio contagio in molte applicazioni della DeFi.
Di seguito un’analisi dell’accaduto.
Summary
Crypto hack da 70 milioni di dollari a Curve Finance
Domenica 30 luglio dalle ore 15.30 in poi si è scatenato il putiferio sulla piattaforma decentralizzata Curve Finance, con diversi attacchi hack che hanno drenato fondi per circa 70 milioni di dollari.
Ad avvisare la community del progetto è stato il profilo Twitter ufficiale di Curve che ha reso noto l’incidente.
Nel dettaglio, il primo hack ha interessato la pool di JPEG’d pETH-ETH per un controvalore di 11 milioni di dollari, seguito da altri 4 attacchi sulle pool alETH-ETH di ALchemix, pETH-ETH di Pendle, msETH-ETH di Metronome e CRV-ETH.
Secondo quanto evince dalle analisi, alcuni di questi attacchi sono stati svolti da soggetti white hack, che hanno sottratto fondi alle pools di liquidità prima che lo facessero altri soggetti malintenzionati, con l’intenzione di restituire i fondi appena la situazione sarà risolta.
In totale dunque le perdite nette si aggirano intorno ai 50 milioni di dollari, con la preoccupazione però che l’ incidente possa ripercuotersi sull’intero ecosistema DeFi.
Questo perché i responsabili dell’hack su Curve Finance, che gestisce oltre 200 pools per un totale di 3 miliardi di dollari, hanno sfruttato una vulnerabilità del linguaggio di programmazione Vyper le cui versioni 0.2.15, 0.2.16 e 0.3.0 sono affette da bug.
Secondo l’indagine iniziale, alcune versioni del compilatore Vyper non implementano correttamente la protezione del rientro, che impedisce l’esecuzione simultanea di più funzioni bloccando un contratto e permettendo il drenaggio di asset dalle pools.
Al momento tutti i progetti DeFi che utilizzano quelle versioni di Vyper sono a rischio hack.
Ora molti utenti della community incolpano i team di Alchemix, JPEG’d ed i membri del team Curve (attivamente coinvolti nella manutenzione del codebase Vyper) come principali responsabili del bug.
Tuttavia, il dottor Laurence Day, fondatore di Wildcat Finance, ha evidenziato che il problema riguarda una mancanza di controlli a priori e che non occorre puntarsi il dito a vicenda.
Queste le sue parole:
“I compilatori sono preconfezionati con tutta una serie di presupposti comportamentali che la stragrande maggioranza di noi semplicemente dà per scontati perché presumiamo che le persone più intelligenti di noi abbiano svolto il lavoro di gamba più vicino all’assemblea. È molto facile puntare il dito e denunciare i fallimenti piuttosto che verificare queste cose.”
Molto interessante notare come anche in questa vicenda si sia inserito il tema dei MEV bot: un ricercatore MEV è stato in grado di frontrunnare il primo hack alla pool pETH-ETH andando a rubare allo stesso ladro informatico.
Gli effetti negativi sul token CRV e sul resto del mercato
Ovviamente la serie di attacchi hack che si sono verificati a causa della vulnerabilità di rientro di Vyper non possono che aver danneggiato la piattaforma Curve Finance sia sul piano economico che su quello reputazionale.
Secondo i dati di DefiLlama il TVL del protocollo è passato in un giorno da 3,26 miliardi di dollari agli attuali 1,72 miliardi di dollari, con un ridimensionamento del 46%.
Molti soggetti infatti, spaventati dal pericolo di contagio su altre pools di liquidità, hanno preferito ritirare i propri asset aspettando che si calmi la tempesta, causando tuttavia la perdita di una grossa fetta di liquidità per Curve Finance.
Anche il token di governance del protocollo CRV ha risentito dell’accaduto, con un crollo dei prezzi del 14,25% nella giornata di ieri ed una perdita di 60 milioni di dollari di marketcap.
Su Binance si sono registrati volumi di scambio pari a 75 milioni di CRV, in un aumento di 35 volte i volumi del giorno precedente.
Al momento i prezzi sembrano essersi stabilizzati intorno agli 0,64 dollari, con possibile recupero nelle prossime ore visto e considerando il livello di ipervenduto nell’indicatore RSI.
Stessa situazione anche il token di Achemix ALCX, che ha perso il 6,7% durante i disastri di ieri, andando a peggiorare una price action già di per sé raccapricciante.
Attualmente il token quota un prezzo di 13,06 dollari, lontanissimo dal suo massimo storico fissato a 458 dollari e con una struttura ribassista che perdura da circa 1 anno e mezzo.
La criptovaluta ha una marketcap di 24,8 milioni di dollari ed una max supply infinita.
Oltre ai danni prettamente economici scaturiti dagli li attacchi hack su Curve Finance, è evidente come incidente in ambito DeFi abbia danneggiato ancora di più la reputazione dei protocolli decentralizzati, sempre più vittima di bug dei codici o di exploit organizzati.
Solo nel 2022 sono stati rubati 3,9 miliardi di dollari nel settore della finanza decentralizzata, con danni stimati per migliaia di utenti che non rivedranno più i loro asset e non possono rifarsi ad alcun processo di liquidazione, tipico dei fallimenti di società centralizzate come avvenuto con FTX o Mt. GOX.
