It never ceases to amaze me the ways a project can have security issues, but even more so the way attackers can come up with a way to find a hole that allows them to exploit a system that, in principle, met security standards.
No me deja de sorprender las maneras en que un proyecto puede tener problemas de seguridad, pero aún más la forma en que los atacantes se las ingenian para encontrar un hueco que les permita vulnerar un sistema que, en principio, cumplía con los estándares de seguridad.
Yesterday, Curve Finance suffered an attack that involved the liquidity pools of other projects. Several of the protocols lost large amounts of money due to a vulnerability found in the Vyper programming language, used in these pools that suffered this problem.
El día de ayer Curve Finance sufrió un ataque que involucraba a las piscinas de liquidez de otros proyectos. Varios de los protocolos sufrieron la pérdida de grandes cantidades de dinero debido a una vulnerabilidad encontrada en el lenguaje de programación Vyper, utilizado en estas piscinas que sufrieron este problema.
It is quite curious to say the truth the way this happened. An exploit took advantage of a flaw in the Vyper compiler that had to do with its version, which did not prevent a re-entry lock from being executed in the smart contract. And what is a re-entry lock? Basically it's about preventing an attacker from making multiple calls to a function, and if this lock does not happen, he will somehow trick the contract and drain the pool.
Es bastante curioso a decir verdad la manera en que esto sucedió. Un exploit aprovechó una falla en el compilador de Vyper que tenía que ver con su versión, la cual no impedía que se ejecutara un bloqueo de reingreso en el contrato inteligente. ¿Y qué es un bloqueo de reingreso? Básicamente trata sobre evitar que un atacante pueda hacer varias llamadas a una función, y si este bloqueo no se sucede, pues logrará de alguna manera engañar al contrato y así drenar la piscina.
Obviously this is something very new and perhaps unknown to any of us, but it is likely that other projects that maintain a system of the DeFi (Decentralized Finance) style are observing their own with the intention of not suffering such a large (and at the same time so small; because the slightest negligence could greatly unprotected the security) vulnerability that could cost millions of dollars among the different pools of the associated projects.
Obviamente esto es algo muy nuevo y tal vez no conocido para cualquiera de nosotros, pero es probable que otros proyectos que mantengan un sistema del estilo DeFi (Descentralized Finance) estén observando el propio con la intención de no sufrir un problema de vulnerabilidad tan grande (y a la vez tan pequeño; pues el menor descuido podría desproteger enormemente la seguridad) que pudiera costar millones de dólares entre las distintas piscinas de los proyectos asociados.
The problem seems to be very large, and in fact a PostMortem has been created about it where a review is made of the terrible event explaining in detail each eventuality. In it, various things are explained in which the amount drained from these pools is mentioned, which amounted to 61 million dollars, of which 5.4 million could be recovered, equivalent to 2,879 ETH.
El problema parece ser muy grande, y de hecho se ha creado un PostMortem al respecto donde se hace un repaso sobre el terrible suceso explicando en detalle cada eventualidad. En él se explican varias cosas en las que se menciona la cantidad drenada de estas piscinas que ascendió a 61 millones de dólares, de los cuales se pudo recuperar 5.4 millones, equivalentes a 2,879 ETH.
Another pool that is at risk is the Arbitrum Tricrypto pool, although the auditors have not found a way to exploit the pool through an exploit, Curve asks them to remove the liquidity from there as a way of taking precautions. I think it is something that everyone who has money there should do as soon as possible and it is something that is recommended, because many things could happen until a possible solution is sought, for example the migration to another contract or perhaps a blockage in that pool.
Otra de las piscinas que corre riesgo es la de Arbitrum Tricrypto, si bien los auditores no han encontrado que exista una manera de vulnerar la piscina a través de un exploit, Curve pide que retiren la liquidez de allí como una forma de tomar precaución. Creo que es algo que toda persona que tiene dinero allí debería hacer cuanto antes y es algo que se recomienda, pues podría suceder muchas cosas hasta buscar una posible solución, por ejemplo la migración a otro contrato o tal vez un bloqueo en esa piscina.
What is known at the moment is that an ethical hacker called c0ffeebabe.eth managed to recover a significant amount that could increase over time. Now the question will be, how will those who invested in these pools be compensated? Because there is much to do and the questions are many.
Lo que se sabe de momento es que un hacker ético llamado c0ffeebabe.eth logró recuperar una cantidad importante que podría ascender con el paso del tiempo. Ahora la pregunta será, ¿cómo se compensará a quienes invirtieron en estas piscinas? Pues hay mucho por hacer y las preguntas son muchas.
White hat hacker recovery transaction
Another problem that arose was that in social networks soon appeared accounts that pretended to be Curve, saying that they would be reintegrating the losses to those who had added liquidity to the pools by directing them to a scam site, which means they would lose their funds by accepting a contract hosted on that page.
Otro de los problemas que se dio fue que en las redes sociales no tardaron en aparecer cuentas que se hacían pasar por Curve, diciendo que estarían reintegrando las pérdidas a quienes habían añadido liquidez a las piscinas dirigiéndolos hacia un sitio scam, lo que significa que perderían sus fondos al aceptar un contrato alojado en esa página.
DeFi seems to be a key target for attackers, and even though the projects in it are heavily audited, if a system is found to be vulnerable and not by contracted personnel, unfortunately those funds will be at risk and with the possibility of ending up in other hands, as is happening more and more in these times.
Las DeFi parecen ser un objetivo clave para los atacantes, y por más que los proyectos que estén en él sean arduamente auditados, si a un sistema se le encuentra una vulnerabilidad y no es por parte del un personal contratado, lamentablemente esos fondos estarán en riesgo y con posibilidad de terminar en otras manos, como viene sucediendo cada vez más en estos tiempos.
- I used Canva to edit the main image.
- I consulted information from the following sites:
decrypt.co and es.cointelegraph.com. - This article is only about a recent news, it is not meant to be an investigation.
- I translated from Spanish to English with the help of Hive Translator (By @noakmilo).