Curve Finance otorga a un desarrollador 250.000 dólares por encontrar una vulnerabilidad de reentrada

Un investigador de seguridad recibió una recompensa de 250.000 dólares por descubrir una vulnerabilidad que históricamente ha permitido a los piratas informáticos extraer millones de dólares de los protocolos de criptomonedas.

El investigador seudónimo de ciberseguridad Marco Croc de Kupia Security identificó una vulnerabilidad de reentrada en el protocolo de finanzas descentralizadas (DeFi) Curve Finance.

En un hilo X, explicó cómo se podría aprovechar el error para manipular saldos y retirar fondos de fondos de liquidez.

Curve Finance reconoció posibles fallas de seguridad y "reconoció la gravedad de la vulnerabilidad", explicó Marco Croc. Después de una investigación exhaustiva, Curve Finance otorgó a Marco Croc su recompensa máxima por errores de 250.000 dólares.

Fuente: Curva de Finanzas

Según Curve Finance, la amenaza se clasificó como "no peligrosa" y creían que podrían recuperar los fondos robados en tal caso.

Sin embargo, el protocolo decía que un incidente de seguridad de cualquier escala “podría haber causado un pánico grave si hubiera ocurrido”.

Relacionado: La deuda de Curve Finance provocará 'una prueba de estrés más' en febrero - Analista

Curve Finance se recuperó recientemente de un hackeo de 62 millones de dólares en julio. Como parte del regreso a la normalidad, el protocolo DeFi votó a favor de reembolsar 49,2 millones de dólares en activos a los proveedores de liquidez (LP).

Fuente: Curva de Finanzas

Los datos en cadena confirman que el 94% de los poseedores de tokens aprobaron el desembolso de tokens por valor de más de 49,2 millones de dólares para cubrir las pérdidas de los grupos Curve, JPEG'd (JPEG), Alchemix (ALCX) y Metronome (MET).

Según la propuesta de Curve, el fondo comunitario suministrará los tokens Curve DAO (CRV). El importe final también incluye una deducción por los tokens recuperados desde el incidente.

“El ETH (ETH) total a recuperar se calculó como 5919,2226 ETH, el CRV a recuperar se calculó como 34.733.171,51 CRV y el total a distribuir se calculó como 55’544’782,73 CRV”, se lee en la propuesta.

El atacante aprovechó una vulnerabilidad en grupos estables utilizando algunas versiones del lenguaje de programación Vyper. El error hizo que las versiones 0.2.15, 0.2.16 y 0.3.0 de Vyper fueran vulnerables a ataques de reentrada.

Revista: El 68% de las runas están en números rojos. ¿Son realmente una mejora para Bitcoin?