Curve Finance, un popolare exchange decentralizzato di stablecoin, ha subito un attacco di rientranza ai suoi factory pool. L’attacco ha provocato un deflusso di asset per oltre 41 milioni di dollari. L’attacco ha sfruttato una vulnerabilità in alcune versioni del compilatore Vyper utilizzato per creare i factory pool.
Cosa sono i factory pool e come sono stati attaccati?
I factory pool sono una funzionalità di Curve Finance che consente a chiunque di creare i propri pool di liquidità utilizzando un framework standardizzato. In questo modo, progetti condivisi fra più entità o i singoli possono sfruttare l’infrastruttura di Curve per offrire un trading efficiente per i loro token.
Tuttavia, alcuni di questi factory pool erano vulnerabili a un attacco di reentrancy, un tipo di falla nella sicurezza che si verifica quando una chiamata esterna da un contratto viene interrotta e richiamata prima del suo completamento. Ciò può consentire a un aggressore di manipolare lo stato o la logica del contratto, o addirittura di sottrargli fondi. In questo caso, ad essere a rischio potrebbero essere più di cento milioni di dollari, di cui 41 milioni legati agli asset defluiti dalla piattaforma.
Secondo i ricercatori di sicurezza, l’aggressore ha utilizzato flashloan per sfruttare la vulnerabilità di reentrancy nei factory pool di JPEGd, Metronome e Alchemix. Questi pool sono stati creati utilizzando versioni precedenti di Vyper, un linguaggio di programmazione per smart contract che ha riconosciuto il problema e sta indagando.
Chi c’è dietro l’attacco a Curve e quali sono le conseguenze?
L’identità e il movente degli aggressori non sono ancora chiari, ma alcuni dati sulla chain suggeriscono che potrebbero essere stati preceduti da alcuni bot MEV, che cercano di trarre profitto dalle opportunità di arbitraggio sulla blockchain. Alcuni ipotizzano anche che l’attacco possa essere un’operazione whitehat, ovvero effettuata da hacker etici che intendono restituire i fondi o prevenire ulteriori danni.
L’attacco ha causato perdite significative ai progetti colpiti e ai loro utenti, oltre a danneggiare la reputazione di Curve Finance e Vyper. Inoltre, evidenzia la necessità di controlli e test di sicurezza più rigorosi per gli smart contracts, in particolare quelli che coinvolgono grandi quantità di fondi.
