El año pasado, Curve Finance fue victima de un hackeo que provocó la pérdida de varios millones de dólares en criptomonedas. Por suerte, en ese momento logró recuperar gran parte de los fondos.
***
- Un experto de seguridad se llevó una recompensa jugosa por alertar a Curve Finance sobre vulnerabilidad
- El año pasado, la plataforma DeFi sufrió un ataque de piratería por varios millones de dólares en cripto
- La vulnerabilidad que se alertó en esta ocasión fue del mismo tipo que permitió el ataque en 2023
Un investigador de seguridad se llevó una grata sorpresa cuando recibió un pago de seis dígitos luego de haber descubierto una vulnerabilidad crítica en un protocolo de finanzas descentralizadas (DeFi) que pudo haber derivado potencialmente en la pérdida de millones de dólares en criptomonedas.
Curve Finance, un popular intercambio descentralizado (DEX), recompensó al investigador de ciberseguridad identificado públicamente como ‘Marco Croc’ con una suma de USD $250.000 por haber identificado una vulnerabilidad de reentrada en el protocolo, según reportaron varios medios y como informó el propio Croc en redes sociales.
Big thanks for the disclosure! Grieving attacks are not as dangerous (funds would be anyway recoverable, and no profit for attacker) – could have caused serious panic if happened.This is an example of a very professional work
— Curve Finance (@CurveFinance) April 30, 2024
En un hilo publicado en su cuenta de X (antes Twitter), Croc, quien es jefe de seguridad de Kupia Security, brindó detalles sobre el caso, explicando cómo se podría haber aprovechado el error para manipular saldos y retirar dinero de los fondos de liquidez.
“La vulnerabilidad podría haber causado una inconsistencia entre el saldo real y la variable de estado del saldo al llamar a retiro_admin_fees dentro del respaldo de remove_liquidity_imbalance. (reentrada)“, escribió.
El investigador agregó que tan pronto como descubrió el inconveniente lo reportó al equipo de Curve. El informe estuvo seguido de una investigación exhaustiva por parte del protocolo y posteriormente del pago de la recompensa al colaborador por su trabajo.
En una respuesta, el equipo de Curve Finance calificó la amenaza como “no tan peligrosa”, aclarando que si hubiese habido una explotación, el atacante no hubiese podido apropiarse de los fondos ya que estos hubiesen sido “recuperables“. Sin embargo, a pesar de esto, reconocieron el “pánico” potencial que podría haber causado el incidente en la comunidad.
“Este es un ejemplo de un trabajo muy profesional“, agregaron los desarrolladores en agradecimiento a Croc.
Esfuerzos de seguridad para evitar hackeos La recompensa al investigador parecen ser parte de los esfuerzos recientes del DEX para fortalecer sus defensas contra posibles ataques de piratería; especialmente después de haber sido víctima de una explotación causada precisamente por una vulnerabilidad de reentrada.
A mediados del año pasado, Curve Finance fue objeto de un hackeo que causó inicialmente la pérdida de varios millones de dólares en monedas digitales. Durante el ataque, varios actores maliciosos vaciaron los grupos de liquidez del protocolo, lo que provocó que el precio de CRV, el token nativo de Curve, cayera un 20%.
En ese momento, la plataforma ofreció una recompensa de 1,85 millones de dólares a cualquiera que pudiese ayudar a identificar al responsable de la explotación. Para su suerte, algunos de los piratas informáticos involucrados actuaron éticamente devolviendo a Curve Finance gran parte de los fondos robados.
Como parte de los esfuerzos de restauración del protocolo, la comunidad de Curve votó a favor de reembolsar activos por valor de casi USD $50 millones a los proveedores de liquidez (LP) para cubrir así las pérdidas causadas.
La reciente recompensa para el experto ponen de relevancia la dinámica colaborativa del espacio de monedas digitales. Curve no es el único actor de la industria que ha extendido un pago en agradecimiento a un experto por informar sobre fallas de seguridad, y numerosas plataformas cuentan con programas de recompensa diseñados precisamente para situaciones así.
Se conocen específicamente como programas de ‘Bug Bounty’, o de recompensas por error, y se entregan usualmente a los expertos de seguridad o hackers de sombrero blanco que alertan sobre una vulnerabilidad de seguridad crítica en los software.
Hace un tiempo, Coinbase (NASDAQ:COIN) pagó una recompensa de USD $250.000 a una persona que alertó sobre una falla en el intercambio.
Artículo de Hannah Estefanía Pérez / DiarioBitcoin
Diseño creado en Canva, con imagen de Unsplash