Un investigador de seguridad recibió una recompensa de USD 250,000 por descubrir una vulnerabilidad que históricamente ha permitido a los hackers extraer millones de dólares de protocolos de criptomonedas.
El investigador de ciberseguridad pseudónimo Marco Croc de Kupia Security identificó una vulnerabilidad de reentrancia en el protocolo de finanzas descentralizadas (DeFi) Curve Finance.
En un hilo de X, él explicó cómo el error podría ser explotado para manipular saldos y retirar fondos de pools de liquidez.
Curve Finance reconoció posibles fallas de seguridad y “reconoció la gravedad de la vulnerabilidad”, explicó Marco Croc. Después de una investigación exhaustiva, Curve Finance otorgó a Marco Croc su máxima recompensa por errores de USD 250,000.
Según Curve Finance, la amenaza fue clasificada como "no tan peligrosa", y creían que podrían recuperar los fondos robados en tal caso.
Sin embargo, el protocolo dijo que un incidente de seguridad de cualquier escala “podría haber causado un serio pánico si hubiera ocurrido”.
Curve Finance se recuperó recientemente de un hackeo de USD 62 millones en julio. Como parte de volver a la normalidad, el protocolo DeFi votó para reembolsar USD 49.2 millones en activos a los proveedores de liquidez (LPs).
Los datos en cadena confirman que el 94% de los titulares de tokens aprobaron la distribución de tokens por más de USD 49.2 millones para cubrir las pérdidas de las piscinas de Curve, JPEG'd (JPEG), Alchemix (ALCX) y Metronome (MET).
Según la propuesta de Curve, el fondo comunitario suministrará los tokens Curve DAO (CRV). La cantidad final también incluye una deducción por los tokens recuperados desde el incidente.
“El total de ETH (ETH) para recuperar se calculó en 5919.2226 ETH, el CRV para recuperar se calculó en 34,733,171.51 CRV y el total a distribuir se calculó en 55,544,782.73 CRV,” dice la propuesta.
El atacante explotó una vulnerabilidad en las piscinas estables utilizando algunas versiones del lenguaje de programación Vyper. El error hizo que las versiones 0.2.15, 0.2.16 y 0.3.0 de Vyper fueran vulnerables a ataques de reentrancia.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión