Curve Finance Awards Dev $ 250.000 por encontrar vulnerabilidade de reentrada

Um pesquisador de segurança foi recompensado com US$ 250.000 por descobrir uma vulnerabilidade que historicamente permitiu que hackers retirassem milhões de dólares de protocolos de criptomoeda.

O pesquisador pseudônimo de segurança cibernética Marco Croc da Kupia Security identificou uma vulnerabilidade de reentrada no protocolo de finanças descentralizadas (DeFi) Curve Finance.

Em um tópico X, ele explicou como o bug poderia ser explorado para manipular saldos e retirar fundos de pools de liquidez.

A Curve Finance reconheceu possíveis falhas de segurança e “reconheceu a gravidade da vulnerabilidade”, explicou Marco Croc. Após uma investigação completa, a Curve Finance concedeu a Marco Croc seu prêmio máximo de recompensa por bugs de US$ 250.000.

Fonte: Curve Finance

De acordo com a Curve Finance, a ameaça foi classificada como “não tão perigosa” e eles acreditavam que poderiam recuperar os fundos roubados nesse caso.

No entanto, o protocolo afirma que um incidente de segurança de qualquer escala “poderia ter causado sério pânico se tivesse acontecido”.

Relacionado: A dívida da Curve Finance causará ‘mais um teste de estresse’ em fevereiro – Analista

A Curve Finance se recuperou recentemente de um hack de US$ 62 milhões em julho. Como parte do retorno à normalidade, o protocolo DeFi votou pelo reembolso de US$ 49,2 milhões em ativos aos provedores de liquidez (LPs).

Fonte: Curve Finance

Os dados da rede confirmam que 94% dos detentores de tokens aprovaram o desembolso de tokens no valor de mais de US$ 49,2 milhões para cobrir as perdas dos pools Curve, JPEG’d (JPEG), Alchemix (ALCX) e Metronome (MET).

De acordo com a proposta da Curve, o fundo comunitário fornecerá os tokens Curve DAO (CRV). O valor final também inclui uma dedução pelos tokens recuperados desde o incidente.

“O ETH total (ETH) a recuperar foi calculado como 5.919,2226 ETH, o CRV a recuperar foi calculado como 34.733.171,51 CRV e o total a distribuir foi calculado como 55.544.782,73 CRV”, diz a proposta.

O invasor explorou uma vulnerabilidade em pools estáveis ​​usando algumas versões da linguagem de programação Vyper. O bug tornou as versões 0.2.15, 0.2.16 e 0.3.0 do Vyper vulneráveis ​​a ataques de reentrada.

Revista: 68% das Runas estão no vermelho – Elas são realmente uma atualização para o Bitcoin?