La firma de liquidez de activos del mundo real (RWA), Curio, sufrió una explotación de contrato inteligente que involucró una vulnerabilidad crítica relacionada con los privilegios de poder de voto, permitiendo que el atacante robara USD 16 millones en activos digitales.
Curio alertó a su comunidad sobre la explotación y destacó que están abordando la situación. La empresa dijo que un contrato inteligente basado en MakerDAO utilizado dentro de Curio fue violado.
Sin embargo, la empresa aseguró a sus usuarios que la explotación solo afectó el lado de Ethereum y que todos los contratos de Polkadot y la cadena Curio permanecieron seguros.
La firma de seguridad Web3 Cyvers estimó que las pérdidas por la explotación son alrededor de USD 16 millones. La firma de seguridad dijo que la explotación involucró una "vulnerabilidad de lógica de acceso de permiso".
El 25 de marzo, Curio publicó un informe posterior a la explotación y un plan de compensación para los usuarios afectados. Dentro del informe, Curio destacó que el problema fue una falla en el control de acceso de privilegios de poder de voto.
Con esto, el atacante adquirió un pequeño número de tokens de Gobierno de Curio (CGT), lo que les permitió acceder y aumentar su poder de voto en el contrato inteligente del proyecto.
Con el poder de voto elevado, el atacante realizó una serie de pasos que finalmente permitieron la ejecución de acciones arbitrarias dentro del contrato Curio DAO. Esto condujo a la creación no autorizada de 1 mil millones de CGT.
En el informe, Curio dijo que todos los fondos afectados en la explotación serán devueltos. El equipo dijo que lanzaría un nuevo token llamado CGT 2.0. Con el nuevo token, el equipo prometió restaurar el 100% de los fondos para los poseedores de CGT.
Para los proveedores de liquidez, Curio dijo que llevará a cabo un programa de compensación de fondos. El equipo dijo que se realizará en cuatro etapas, con cada etapa durando 90 días. Esto podría significar que el pago completo podría tardar potencialmente un año. Escribieron:
"El programa de compensación constará de 4 etapas consecutivas, cada una con una duración de 90 días. Durante cada etapa: la compensación se pagará en USDC/USDT, equivalente al 25% de las pérdidas incurridas por el segundo token en los pools de liquidez."
La empresa también dijo que recompensará a hackers éticos que puedan ayudar a recuperar los fondos perdidos. El equipo dijo que los hackers podrían recibir una recompensa equivalente al 10% de los fondos recuperados en la fase inicial de recuperación.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión
