Hacker “do bem” é recompensado em R$ 1,3 milhão por achar defeito em protocolo DeFi

Pedro Augusto
| 2 min read

hacker

O conhecido protocolo de finanças descentralizadas (DeFi) Curve Finance concedeu ao pesquisador de segurança Marco Croc, da Kupia Security, uma recompensa de US$ 250 mil por descobrir uma vulnerabilidade crítica. Essa falha já permitiu que hackers desviassem milhões de dólares de protocolos de criptomoedas no passado.

Marco Croc identificou uma vulnerabilidade de reentrada no Curve Finance e detalhou como malfeitores poderiam explorar esse bug para manipular saldos e retirar fundos dos pools de liquidez.

Reconhecendo a gravidade da falha, o Curve Finance realizou uma investigação minuciosa e, em seguida, concedeu a Marco Croc o prêmio máximo de sua recompensa por bugs.

Curve Finance incentiva os hackers “do bem”


Apesar de o risco receber a classificação de “não tão perigoso”, o protocolo reconheceu o potencial pânico que poderia surgir caso um incidente de segurança ocorresse. Com essa recompensa, a Curve Finance tem como objetivo incentivar a pesquisa de segurança responsável e fortalecer suas defesas contra possíveis explorações.

Este desenvolvimento ocorre após a Curve Finance se recuperar de um ataque hacker que resultou em uma perda de US$ 62 milhões em julho. Como parte dos esforços de restauração do protocolo, votou-se recentemente que US$ 49,2 milhões em ativos voltariam aos provedores de liquidez (LPs).

Como resultado 94% dos detentores de tokens aprovou a distribuição, cobrindo perdas nos pools da Curve, JPEG’d (JPEG), Alchemix (ALCX) e Metronome (MET). O plano de reembolso envolve o uso de tokens Curve DAO (CRV) do fundo comunitário. Também consideram-se os tokens recuperados desde o incidente, resultando em uma distribuição final de 55.544.782,73 CRV.

As quantidades de Ethereum (ETH) e CRV a serem recuperadas foram calculadas como 5.919,2226 ETH e 34.733.171,51 CRV, respectivamente. A vulnerabilidade explorada pelo atacante visava pools estáveis e afetava versões específicas da linguagem de programação Vyper.

As versões 0.2.15, 0.2.16 e 0.3.0 do Vyper foram identificadas como suscetíveis a ataques de reentrância, que o atacante utilizou para realizar saques não autorizados de fundos.

Abril foi o mês com menos ataques de hackers envolvendo criptomoedas


A indústria de criptomoedas enfrentou um grande declínio nos prejuízos combinados de ataques e golpes em abril. O mês registrou os menores prejuízos provenientes de hacks e golpes relacionados a cripto desde 2021. Aproximadamente US$ 25,7 milhões perdidos em explorações, ataques e fraudes.

Mais especificamente, apenas US$ 25,7 milhões foram perdidos em ataques durante o mês, o valor mais baixo desde que a CertiK começou a registrar tais dados em 2021. Os ataques de empréstimo instantâneo (flash loan) foram responsáveis por perdas de US$ 129.000, com o maior incidente causando US$ 55.000 em danos.

Esse foi o mês com a menor incidência de ataques de empréstimo instantâneo desde fevereiro de 2022. Surpreendentemente, perdeu-se apenas US$ 4,3 milhões em golpes de saída (exit scams). Conforme relatado, o primeiro trimestre deste ano viu a perda de US$ 336 milhões devido a hackers e fraudes na Web3, com quase metade do capital roubado apenas em janeiro.

No entanto, o número representa uma diminuição de 23% em comparação com o primeiro trimestre de 2023. Vale também destacar que se recuperou US$ 73.885.000 de capital roubado na Web3 em 7 situações específicas.

Leia mais: