A Curve (CRV), classificada como a segunda maior plataforma de trocas descentralizadas (DEX) do setor, foi alvo de um significativo ataque cibernético no último domingo (30), culminando em uma subtração de US$ 70 milhões. É relevante ressaltar que a totalidade desse valor não era pertencente ao projeto, mas sim proveniente dos usuários que disponibilizaram seus recursos para a liquidez na plataforma.
A confirmação oficial do ataque surgiu em 30 de julho e teve sua origem vinculada a uma linguagem de programação conhecida como “Vyper”. Essa linguagem foi empregada para explorar diversos contratos inteligentes, abrangendo aqueles operacionais na corretora.
A Curve disponibiliza uma diversificada gama de “pools” de liquidez para seus usuários. Entretanto, o protocolo confirmou através do antigo canal no Twitter, denominado “X”, que apenas quatro dentre essas pools foram alvo da investida: pETH-ETH, alETH-ETH, CRV-ETH e msETH-ETH. Segundo as averiguações iniciais, determinadas versões da linguagem Vyper não incorporaram adequadamente os mecanismos de proteção contra reentrância, um obstáculo crucial que impede a simultaneidade de múltiplas funções, tendo como resultado a paralisação de um contrato.
Um ataque desse porte compromete severamente a confiabilidade e a reputação de um projeto ligado às criptomoedas, com potencial para prejudicar tanto sua expansão quanto seu posicionamento no mercado. No entanto, é válido mencionar que uma fração dos US$ 70 milhões desviados da plataforma foi subtraída por hackers éticos, também conhecidos como “white-hats”. Nesse contexto, tudo indica que parte do montante retirado já foi restituído ao projeto.
