Curve Finance assegna allo sviluppatore $ 250.000 per aver individuato la vulnerabilità al rientro

Un ricercatore di sicurezza è stato ricompensato con 250.000 dollari per aver scoperto una vulnerabilità che storicamente ha consentito agli hacker di prelevare milioni di dollari dai protocolli delle criptovalute.

Lo pseudonimo ricercatore di sicurezza informatica Marco Croc di Kupia Security ha identificato una vulnerabilità di rientro nel protocollo di finanza decentralizzata (DeFi) Curve Finance.

In un thread su X, ha spiegato come il bug potrebbe essere sfruttato per manipolare i saldi e prelevare fondi dai pool di liquidità.

Curve Finance ha riconosciuto potenziali difetti di sicurezza e “ha riconosciuto la gravità della vulnerabilità”, ha spiegato Marco Croc. Dopo un'indagine approfondita, Curve Finance ha assegnato a Marco Croc il premio bug bounty massimo di $ 250.000.

Fonte: Curva Finanza

Secondo Curve Finance, la minaccia è stata classificata come “non pericolosa” e credevano di poter recuperare i fondi rubati in un caso del genere.

Tuttavia, il protocollo afferma che un incidente di sicurezza di qualsiasi portata “avrebbe potuto causare un grave panico se fosse accaduto”.

Correlato: Il debito di Curve Finance causerà "un altro stress test" a febbraio - Analista

Curve Finance si è recentemente ripresa da un attacco informatico da 62 milioni di dollari avvenuto a luglio. Nell’ambito del ritorno alla normalità, il protocollo DeFi ha votato per rimborsare 49,2 milioni di dollari di asset ai fornitori di liquidità (LP).

Fonte: Curva Finanza

I dati on-chain confermano che il 94% dei tokenholder ha approvato l'erogazione di token per un valore di oltre 49,2 milioni di dollari per coprire le perdite dei pool Curve, JPEG'd (JPEG), Alchemix (ALCX) e Metronome (MET).

Secondo la proposta di Curve, il fondo comunitario fornirà i token Curve DAO (CRV). L'importo finale comprende anche una detrazione per i gettoni recuperati dopo l'incidente.

“L’ETH complessivo (ETH) da recuperare è stato calcolato come 5919,2226 ETH, il CRV da recuperare è stato calcolato come 34.733.171,51 CRV e il totale da distribuire è stato calcolato come 55’544’782,73 CRV”, si legge nella proposta.

L'aggressore ha sfruttato una vulnerabilità sui pool stabili utilizzando alcune versioni del linguaggio di programmazione Vyper. Il bug ha reso le versioni 0.2.15, 0.2.16 e 0.3.0 di Vyper vulnerabili agli attacchi di rientro.

Rivista: il 68% delle rune è in rosso: sono davvero un aggiornamento per Bitcoin?