Finalmente rivelata la storia dietro l'incidente di Curve Finance: ecco cos'è successo
In sintesi:
- Curve Finance e altri protocolli interconnessi hanno subito una violazione con 73,5 milioni di dollari in gioco.
- Nel corso dell'attacco, gli hacker white-hat e i bot MEV hanno cercato di anticipare l'aggressore per recuperare i fondi.
- Gli sforzi di recupero sono emersi grazie a un'iniziativa congiunta, che ha restituito una parte sostanziale dei fondi sottratti.
- La causa principale è stata un bug nascosto nel compilatore del linguaggio di programmazione Vyper che ha creato una serie di vulnerabilità.
- L'incidente ha ulteriormente evidenziato la necessità di salvaguardare i beni della DeFi.
In una cupa domenica del 30 luglio, il mondo della DeFi è stato scosso da un evento che ha mandato onde d'urto in tutto l'ecosistema blockchain. Curve Finance, una pietra miliare del mondo della DeFi, nota per il suo ruolo integrale nel fornire liquidità agli asset con legatura ETH, è stato hackerato, e l'hack ha avuto conseguenze di vasta portata che vanno oltre il suo impatto immediato. Con una posta in gioco di ben 73,5 milioni di dollari, questa violazione non solo ha messo in luce le vulnerabilità di Curve Finance, ma ha anche innescato uno spaventoso effetto domino, che ha colpito una serie di protocolli interconnessi che fanno affidamento sull'infrastruttura di liquidità di Curve. Addentrandoci nella labirintica storia dell'hack e delle sue conseguenze, scopriamo come una singola violazione possa inviare ondate di incertezza nel panorama della DeFi.
Dalla vulnerabilità al caos
La storia è iniziata con un banale avviso da parte di PeckShield, una rinomata società di sicurezza blockchain, riguardo ad attività insolite che si stavano muovendo all'interno del protocollo di prestito NFT, JPEG'd. Mentre l'inchiostro digitale sull'avviso di PeckShield si stava ancora asciugando, Curve Finance è intervenuta con una rapida smentita sotto forma di un tweet ora cancellato, attribuendo le preoccupazioni a un semplice "bug di rientranza di sola lettura". Non sapevano che questo annuncio sarebbe stato il precursore di una serie tumultuosa di eventi che ruotavano intorno a Curve stessa.
Dopo l'exploit da 11,5 milioni di dollari di JPEG'd, si è verificato un crescendo di attacchi in diversi pool DeFi.
- Il pool alETH-ETH di Alchemix DAO ha subito un colpo da 22 milioni di dollari, perdendo 13,6 milioni di dollari di ETH e 8,4 milioni di dollari in token ERC-20.
- Il pool sETH-ETH di Metronome DAO ha seguito l'esempio, subendo una perdita di 1,6 milioni di dollari.
- Curve Finance, l'epicentro della tempesta, si è trovata nel mirino, poiché il suo pool CRV/ETH ha subito un colpo devastante. Michael Egorov, amministratore delegato di Curve, ha confermato su Telegram che 22 milioni di dollari di token CRV sono stati sottratti dal pool di swap di Curve.
Nel mezzo del trambusto, è emersa una banda di hacker "white-hat", determinata a recuperare i fondi compromessi. I loro sforzi, tuttavia, sono stati ripetutamente superati dagli hacker che cercavano di ostacolare. In questa intricata danza tra virtù e vizio è emerso un protagonista inaspettato: i bot MEV. Questi agenti digitali sono riusciti a superare gli hacker e hanno orchestrato la restituzione dei fondi rubati da queste transazioni illecite, un gesto che ha rivelato l'interazione sfumata tra l'hacking etico e gli exploit illeciti. Una figura distintiva tra queste, c0ffeebabe.eth, ha estratto circa 5,3 milioni di dollari dal pool CRV/ETH di Curve e circa 1,6 milioni di dollari dal pool Metronome msETH, per poi reintegrare i fondi nei protocolli colpiti.
Una porta nascosta: Capire la causa della violazione
Inizialmente, la fonte degli hack è stata attribuita a una vulnerabilità comunemente nota come "read-only reentrancy", che ha afflitto diversi protocolli negli ultimi mesi. Tuttavia, un'indagine più approfondita ha rivelato una causa più complessa e unica. I contratti sfruttati non erano progetti esterni che si affidavano ai pool Curve come riferimenti di prezzo, ma erano i pool Curve stessi.
Il problema di fondo risaliva a un bug del compilatore precedentemente sconosciuto in alcune versioni precedenti di Vyper, il linguaggio di programmazione utilizzato per lo sviluppo dei contratti di Curve. In particolare, le versioni 0.2.15, 0.2.16 e 0.3.0 di Vyper presentavano delle vulnerabilità che rendevano alcuni smart contract suscettibili di attacchi di reentrancy. Un attacco di reentrancy, in parole povere, è come quando qualcuno trova il modo di prendere da un barattolo di caramelle più caramelle del dovuto.
Immaginiamo che ci sia un barattolo di caramelle che permette di prendere solo una caramella alla volta. Ma qualcuno trova un modo per ingannare il barattolo e farsi dare più di una caramella ogni volta che la chiede. Continuano a farlo finché tutte le caramelle non sono finite. In modo simile, un attacco di rientranza si verifica nei programmi informatici noti come contratti intelligenti, ma invece delle caramelle si tratta di denaro e gli hacker trovano il modo di prendere ripetutamente più denaro del dovuto da questi contratti. Questi attacchi manipolano i saldi dei contratti ingannando il protocollo e inducendolo a sbagliare i calcoli, facilitando così il prelievo illecito dei fondi detenuti.
In realtà, questo bug era sfruttabile fin dal 2021 e la sua patch involontaria è stata rilasciata nel dicembre 2021 con la versione 0.3.1, ma c'è stato poco riconoscimento pubblico sia del bug che del suo rimedio. Le critiche si sono intensificate quando BlockSec e Supremacy, due agenzie autoproclamatesi leader nella sicurezza della blockchain, hanno rivelato i dettagli della vulnerabilità, in particolare i numeri di versione a rischio, mentre l'exploit e gli sforzi di mitigazione erano ancora in corso.
Oltre la breccia: La ricerca di redenzione della DeFi
In un'impressionante dimostrazione di collaborazione e di tentativo di riscatto, il 3 agosto è emerso uno sforzo congiunto guidato da Curve, Metronome e Alchemix. Uniti da uno scopo comune, i protocolli hanno presentato un'iniziativa per recuperare i fondi rubati dal recente attacco. Una taglia del 10% dei fondi rubati è stata estesa come incentivo, per invogliare i responsabili della violazione a farsi avanti e a cedere il restante 90%. Questa impresa coraggiosa, che offre una ricompensa potenziale di quasi 7 milioni di dollari, è stata accompagnata da una promessa di clemenza, con la promessa dell'assenza di ulteriori misure legali o di coinvolgimento delle forze dell'ordine. In questo modo i protocolli hanno espresso il desiderio di risolvere la questione con mezzi civili.
La risposta fu rapida. In meno di un giorno, il 4 agosto, l'autore originale della truffa multimilionaria ha apparentemente abbracciato il ramo d'ulivo teso. È iniziata un'ondata di restituzioni, quando l'hacker ha iniziato a restituire i fondi acquisiti pochi giorni prima. Dapprima, un totale di 9 milioni di dollari è tornato nelle casse di Alchemix Finance e Curve Finance. Poi, nel giro di poche ore, il 5 agosto, l'hacker ha restituito completamente i fondi rubati ad Alchemix e a JPEG'd.
In mezzo a questa sorprendente svolta, l'aggressore ha comunicato un messaggio risoluto, forse destinato ai team di Alchemix e Curve. La dichiarazione indicava la volontà di restituire i fondi non a causa dell'apprensione, ma piuttosto come atto di conservazione dell'integrità dei protocolli in questione.
A prescindere dalle motivazioni, la sua decisione di restituire i fondi è stata una rarità tra gli hacker. Grazie all'impegno degli hacker white hat e dei bot MEV che si sono dati da fare per contrastare gli exploit il 30 luglio, è stato raggiunto un risultato notevole: circa il 73% dei fondi sottratti, pari a quasi 52,3 milioni di dollari, è stato recuperato e restituito con successo. Questo livello di recupero senza precedenti testimonia l'intricata interazione e le dinamiche sfaccettate tra intervento etico, potere della comunità e tecnologia avanzata nel panorama della DeFi.
Lezioni di Blockchain: come salvaguardare gli asset della DeFi
L'incidente di Curve è uno dei rarissimi casi in cui la maggior parte dei fondi sfruttati è stata ripristinata con successo nei protocolli interessati. Detto questo, non tutti sono stati ripristinati e nella maggior parte degli incidenti i fondi persi sono persi per sempre. Nel mondo della DeFi, affidarsi esclusivamente alla speranza che gli aggressori restituiscano i fondi rubati è una pura illusione. Gli utenti dovrebbero prendere in considerazione misure alternative come assicurazioni o protezioni che offrano garanzie al 100% contro potenziali perdite. Il Fondo di protezione da 300 milioni di dollari di Bitget ne è un esempio notevole, forte di 6500 BTC e 160 milioni di dollari in stablecoin. Questo fondo assicura agli utenti una copertura per le perdite non derivanti dalle loro azioni o dal comportamento della piattaforma.
Un'altra salvaguardia è la Proof-of-Reserve, una garanzia che le entità centralizzate mantengono un rapporto di riserva 1:1 per i fondi degli utenti, assicurando il successo del loro prelievo in ogni momento. Ad esempio, Bitget garantisce la massima trasparenza con un rapporto di riserva attuale del 244%, che mostra 2,5 volte il patrimonio degli utenti in BTC, ETH e USDT. Infine, grazie alla tecnologia di cold storage, la maggior parte degli asset digitali è conservata offline in portafogli sicuri a firma multipla, riducendo in modo significativo l'esposizione alle minacce online. Queste misure, convalidate da aziende leader nel settore della sicurezza, incarnano l'impegno di Bitget nel preservare i beni degli utenti in un ambiente solido e fortificato.
Disclaimer: Le opinioni espresse in questo articolo sono solo a scopo informativo. Questo articolo non costituisce un'approvazione dei prodotti e dei servizi discussi né una consulenza di investimento, finanziaria o di trading. È necessario consultare professionisti qualificati prima di prendere decisioni finanziarie.
• Iscriviti ora su Bitget: https://partner.bitget.com/bg/Italy
• Instagram: https://instagram.com/bitget.in.italian
• Youtube: https://www.youtube.com/@bitget.in.italian
• X: https://x.com/bg_in_italian
• Telegram: https://t.me/Bitget_Italia
• Tik Tok: www.tiktok.com/@bitget.in.italian