La comunità delle criptovalute ha avuto un brusco risveglio ieri mattina con la notizia di un exploit su larga scala ai danni di Curve Finance, una popolare piattaforma di finanza decentralizzata (DeFi).
L’intervento tempestivo di un hacker etico
L’incidente, che ha comportato un massiccio hacking di fondi seguito da un’azione benevola, ha messo in discussione la sicurezza della DeFi e ha evidenziato la necessità di una maggiore vigilanza. Utilizzando un bot MEV, l’hacker etico c0ffeebabe.eth è stato in grado di precedere un hacker malintenzionato, assicurandosi i suddetti 2.879 ETH durante la seconda fase. Questa somma è stata poi debitamente restituita da c0ffeebabe.eth all’indirizzo del deployer di Curve, presumibilmente il suo legittimo custode, secondo l’analisi della catena. I MEV bots sono bot che utilizzano potenti hardware e particolari tecniche per ottenere profitti con l’attività di produzione di blocchi della blockchain di Ethereum e su altre reti
c0ffeebabe.eth frontruns another one for 2879 ETH pic.twitter.com/RCqLaJMaZv
— Spreek (@spreekaway) July 30, 2023
L’hacking ai danni di Curve si è svolto in due fasi distinte. Inizialmente, circa 26 milioni di dollari sono stati sottratti a causa di una vulnerabilità di rientranza all’interno dei suoi pool di fabbrica. Questo ha avuto un impatto negativo su diversi progetti, tra cui JPEG’d, Metronome e Alchemix. Questo attacco iniziale è stato seguito da una seconda fase in cui sono stati prosciugati 7,1 milioni di CRV (4,4 milioni di dollari) e 7.680 wrapped ether (14,37 milioni di dollari) dal pool CRV-ETH di Curve Finance. In totale, prima dell’intervento dell’hacker etico, gli hacker hanno rubato 52 milioni di dollari in questa vasta operazione.
Sotto esame la vulnerabilità del codice
All’origine dell’hacking di Curve c’era una vulnerabilità in una vecchia versione del linguaggio di programmazione Vyper. La falla ha dato agli aggressori la possibilità di reintegrare il codice di Curve, provocando un massiccio trafugamento di fondi.
A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.
— Curve Finance (@CurveFinance) July 30, 2023
Other pools are safe. https://t.co/eWy2d3cDDj
Questo recente incidente, insieme a molti altri, è un ulteriore prova di quanto il settore della DeFi sia vulnerabile alle minacce. PeckShield, società specializzata in sicurezza informatica, ha condotto un’indagine approfondita per scoprire l’esatta causa dell’incidente. Dopo l’eroica azione di c0ffeebabe.eth, che ha eticamente restituito 5,4 milioni di dollari, la perdita totale ammonta ora a 46,5 milioni di dollari. Questa vicenda dimostra che la sicurezza rimane un problema importante e imprescindibile nel mondo della DeFi.
Conseguenze dell’hack di Curve Finance
A seguito di questo hack su scala relativamente ampia, Curve Finance ha subito una perdita significativa. Nel giro di 24 ore, il valore totale bloccato, noto anche come TVL, è crollato da 3,26 miliardi di dollari a 1,74 miliardi, segnando un deprezzamento di quasi il 46%.
Questo evento in evidenza la questione della sicurezza delle piattaforme DeFi, che rimane una delle principali preoccupazioni. Inoltre, evidenzia l’importanza della cautela nell’esame del codice e il ruolo cruciale svolto dagli hacker etici come c0ffeebabe.eth nel mondo delle criptovalute.
L’incidente evidenzia il fatto che la DeFi è ancora agli inizi ed è vulnerabile ad attacchi sofisticati. È quindi essenziale gestire queste piattaforme con la massima cautela.
