Uno de los protocolos de finanzas descentralizadas (DeFi) más importantes de Ethereum sufrió un hackeo este fin de semana. Se trata del exchange descentralizado (DEX) Curve Finance, cuyas pérdidas rondan los USD 52 millones en diferentes criptomonedas.

Según informó Curve, el incidente de seguridad afectó a cuatro de sus pools de liquidez. Todos ellos incluían a la criptomoneda ether (ETH), uno al pool de gobernanza Curve (CRV), y el resto a otros tokens: Alchemix (alETH), Metronome Synth (smETH) y JPEG’d (pETH). El pool crv/eth fue «drenado minutos antes de una operación de sombrero blanco» que podría haber salvado los fondos depositados, detalló un desarrollador bajo el seudónimo banteg.

El punto en común entre los pools afectados era que usaban el compilador Vyper, específicamente, sus versiones 0.2.15, 0.2.16 y 0.3.0. Un compilador es un código para contratos inteligentes que permite ejecutar transacciones en la máquina virtual de Ethereum (EVM). En el caso de Vyper, se usa un lenguaje de programación propio basado en Phyton.

Los fondos robados en el hackeo fueron aumentando con el correr de las horas del domingo 30 de julio. El sitio de alertas sobre seguridad PeckShieldAlert informó primero sobre un botín de USD 52 millones. Posteriormente, añadió información sobre una transferencia de 220 de Wrapped BTC (WBTC), equivalentes a USD 6,5 millones, que fueron cambiados por USDT 6,4 millones. Una parte de esos fondos (USD 2,8 millones se movilizó hacia 6 direcciones, incluyendo un depósito en el exchange Binance (USDT 956,6 mil). Unos minutos después, el atacante hizo 3 movimientos más de 100 WBTC (USD2,9 millones) cada uno.

Con respecto a los demás pools en el protocolo, Curve informó que todos se encuentran seguros. No obstante, esto no evitó una fuga masiva de capitales del protocolo. Según datos de DeFillama, Curve perdió el 48% de su valor total bloqueado (TVL) en las últimas 24 horas.

Efectos secundarios del hackeo a Curve

Pese al drenaje de fondos y a un esperado retiro de fondos de otros usuarios preocupados por su dinero, Curve sigue siendo el segundo DEX más importante en Ethereum, detrás de Uniswap. Antes del robo, acumulaba un TVL de USD 3.115 millones. Ahora, esa cifra bajó a USD 1.620 millones.

Las consecuencias de este evento de seguridad, que será con certeza uno de los más importantes del año, están en desarrollo todavía. Uno de los contribuidores de Vyper aseguró que «lo peor del hackeo a Curve es que no fue algo que un investigador normal hubiera buscado, sino que excavaron profundamente en nuestro historial de lanzamientos para encontrar un problema explotable para un protocolo grande y con muchos millones en juego».

Por otra parte, desde la cuenta de Twitter de DeFillama se criticó el proceder de firmas de seguridad que informaron en tiempo real las versiones de Vyper afectadas. Esto dio más precisiones a posibles atacantes y restó tiempo de respuesta a los desarrolladores del compilador para arreglar el problema cuanto antes, expresan.