En el mundo blockchain y las finanzas descentralizadas (DeFi), la seguridad y la integridad de los contratos inteligentes son de suma importancia. Desafortunadamente, un nuevo incidente en Curve Pools ha resaltado los riesgos que persisten en este ecosistema en constante evolución.

Un bot de Miner Extractable Value (MEV) desconocido fue víctima de una explotación, lo que resultó en una pérdida masiva de aproximadamente $2 millones en las famosas Curve Pools.

La explotación se produjo debido a una vulnerabilidad en una función de arbitraje, identificada por PeackShieldAlert como 0xf6ebebbb(), rapidamente se envió el caso a la comunidad a través de X.

#MEV An unknown MEV bot was exploited (with $2m loss) to make multiple large swaps in #curve pools, causing arb with simple reverse swaps.
https://t.co/POY91xvwC4 pic.twitter.com/vu1CaxSrdt

— PeckShieldAlert (@PeckShieldAlert) November 8, 2023

Esta función carecía de la autenticación adecuada, lo que proporcionó al atacante una puerta abierta para manipular los intercambios en varias Curve Pools.

Resultó en un Deslizamiento Significativo en los Exchanges, Afectando Fuertemente a Curve Pools

Lo que hace que esta explotación sea aún más inquietante es el ingenio del atacante. Tras manipular los intercambios, revirtió astutamente las operaciones para maximizar sus ganancias, agravando aún más el impacto del incidente.

Para lograr esto, el atacante explotó una función expuesta en el bot de arbitraje, lo que le permitió iniciar una transacción desde Wrapped Ether (WETH) a Wrapped Bitcoin (WBTC).

Luego, ejecutó un préstamo flash por 27,255 WETH (equivalente a $51.36 millones), que utilizó para alterar significativamente la relación de precios entre WETH y WBTC en la Curve Pool.

Como resultado, se produjo la conversión de 1,339.8 WETH (aproximadamente $2.52 millones) en 6.95 WBTC (alrededor de $244,000) al desestabilizar la pool.

Es importante destacar que el propietario del bot de MEV ya había retirado fondos del contrato antes del ataque, lo que complicó aún más la situación.

Este incidente recuerda una serie de explotaciones anteriores en Curve Finance a finales de julio de 2023, que resultaron en pérdidas de alrededor de $70 millones. Estos ataques fueron posibles debido a una vulnerabilidad en Vyper, un lenguaje de programación python utilizado por contratos inteligentes en Ethereum, incluyendo los de Curve y otros protocolos descentralizados.

Sin embargo, después de esta explotación, tanto hackers éticos como operadores de bots de MEV trabajaron juntos para recuperar una parte de los fondos perdidos, lo que podría reducir el valor de las pérdidas iniciales reportadas.

Además, el atacante devolvió una parte de los fondos robados, lo que proporcionó cierto alivio a la comunidad.

A pesar de estos esfuerzos, Curve Finance ha extendido una oferta de recompensa de $1.85 millones a cualquiera que pudiera identificar al atacante de este exploit reciente, lo que demuestra la determinación de la comunidad de DeFi para abordar y prevenir futuras explotaciones.