Curve Finance sofreu um roubo milionário de criptomoedas (Reprodução/Reprodução)
Redação Exame
Publicado em 4 de agosto de 2023 às 14h50.
O invasor responsável pelo roubo de cerca de US$ 61 milhões (R$ 295 milhões, na cotação atual) começou a devolver parte do valor desviado da Curve Finance após o protocolo de finanças descentralizadas (DeFi, na sigla em inglês) propor um acordo. O roubo ocorreu no último domingo, 30, e se aproveitou de uma atualização em uma das linguagens de programação usadas no projeto.
Dados da plataforma Etherscan mostram que o invasor devolveu cerca de US$ 10 milhões em ether para a Alchemix, um dos projetos abrigados na Curve Finance e que foi alvo do ataque. Um dia antes, os responsáveis pela Curve enviaram uma mensagem para o endereço de carteira digital do responsável.
Na mensagem, eles destacam que "gostaríamos de discutir uma recompensa para qualquer um dos envolvidos na recente exploração da Curve. Estamos oferecendo uma recompensa equivalente a 10% dos ativos desviados, que poderão ficar para você se você retornar os outros 90%".
"Você não terá nenhum risco de ser perseguido por nós, nenhum risco de ter problemas com a lei. Se você fizer essa devolução voluntária e completar o processo até o dia 6 de agosto, nós vamos tornar a oferta de recompensa pública, e oferecer os 10% para quem conseguir identificar você para que possamos levá-lo para o tribunal", diz a mensagem.
Dear hacker, you've got an incoming messagehttps://t.co/ZKJjrO65PX
— Curve Finance (@CurveFinance) August 3, 2023
Pouco depois, o invasor entrou em contato com a Alchemix para confirmar o endereço de envio e começou a realizar a transferência. Ainda não foram realizadas as outras transferências para chegar à quantia final equivalente a 90% de todos os fundos desviados.
Atualmente, a Curve Finance funciona como uma espécie de corretora descentralizada focada em stablecoins, criptomoedas pareadas a outros ativos. Para garantir essa paridade, ela administra diversos pools de liquidez formados por criptoativos, em especial o ether.
No Twitter, os responsáveis pelo protocolo informaram que ao menos quatro pools foram alvos do ataque. A vulnerabilidade explorada está ligada à Vyper, linguagem de programação em Python usada pelos pools. A linguagem passou por uma atualização no fim de semana, cujas vulnerabilidades resultantes foram exploradas.