Mientras el ecosistema de finanzas descentralizadas de las criptomonedas temblaba el domingo debido a los $52 millones robados de Curve Finance, un bot de trading se lanzó al contraataque. Su misión: copiar a los atacantes, asegurar millones de dólares en criptomonedas antes de que desaparezcan y luego devolverlo todo en una aparente intervención de un sombrero blanco (así se le llama a los hackers que buscan exponer vulnerabilidades en los códigos para que sean corregidas).
Un problema con el lenguaje de programación Vyper, utilizado para escribir contratos inteligentes en la cadena de bloques de Ethereum, proporcionó una ventana de oportunidad para explotar los pools de liquidez en Curve Finance, uno de los exchanges más utilizados en DeFi.
En el momento de escribir este artículo, Curve tiene $1.6 mil millones en valor total bloqueado, una disminución del 42% en el último día, pero aun una parte significativa del panorama DeFi de $23 mil millones de Ethereum, según DefiLlama.
Los atacantes manipularon el precio de los tokens en varios pools de liquidez, donde un token puede ser intercambiado por otro. Informes recientes de la firma de seguridad blockchain PeckShield estiman que se han perdido $52 millones. Pero los atacantes no se llevaron todo el botín.
Alguien utilizó la vulnerabilidad en el pool de liquidez CRV-ETH de Curve—donde se puede intercambiar Ethereum por el token de gobernanza del exchange, Curve DAO (CRV)—para, en cierto sentido, aprovecharse de los que aprovechan. La transacción costó alrededor de $32 en tarifas de transacción, pero produjo 2.879 Ethereum, obteniendo una ganancia de alrededor de $5,4 millones.
Finalmente, los 2.879 Ethereum fueron devueltos a Curve por un bot llamado "c0ffeebabe.eth", según Etherscan. Las direcciones de Ethereum son una cadena larga de caracteres alfanuméricos por defecto, pero el propietario del bot le dio un nombre legible por humanos utilizando el Servicio de Nombres de Ethereum o Ethereum Name Service. PeckShield también atribuye al bot haber robado otros $1.6 millones del protocolo de activos sintéticos Metronome, y un representante de la empresa de seguridad le dijo a Decrypt que el 90% de esos fondos también ha sido devuelto.
La acción del bot fue un juego de arbitraje lucrativo y en fracciones de segundo, que involucró préstamos flash y el exchange descentralizado Uniswap, según Yixin Cao, científico de datos líder en la plataforma de análisis DeFi EigenPhi, dijo Decrypt.
"No muchos actores pueden hacer este tipo de cosas", dijo. "Hay muchos atacantes sofisticados por ahí, pero este tipo de arbitraje requiere un conocimiento muy profundo".
Uniswap y Balancer
El desglose de la transacción de EigenPhi describe 16 pasos distintos tomados por el bot, pero el juego se basó en dos proyectos DeFi distintos.
La operación de intercambio en fracciones de segundo de C0ffeebabe.eth primero utilizó Balancer, un protocolo de liquidez, para obtener un préstamo instantáneo de 100 Ethereum. Los préstamos instantáneos no requieren garantías y los deudores deben devolverlos en la misma transacción.
Luego, Uniswap fue esencial, dijo Cao, porque permitió a c0ffeebabe.eth aprovechar la discrepancia entre el precio de CRV en Uniswap y Curve que planeaba crear utilizando el error de Vyper. El bot intercambió 70 Ethereum por más de 190.000 CRV utilizando Uniswap.
Una ráfaga inicial de 30.000 CRV dirigida al grupo CRV-ETH de Curve hizo que el error de Vyper lo desequilibrara. El estado desequilibrado del grupo permitió a c0ffeebabe.eth intercambiar su CRV restante por 2.949 Ethereum, 317 veces más de lo que hubiera podido obtener sin el exploit.
Después de que se pagó el préstamo instantáneo, c0ffeebabe.eth obtuvo una ganancia considerable.
La explotación de Vyper convirtió lo que hubiera sido una pequeña jugada en una enorme, dijo Cao. Sin aprovechar la vulnerabilidad, c0ffeebabe.eth se habría llevado solo 9,3 Ethereum según una simulación realizada por EigenPhi.
Esperanza en la cadena
Poco después de que se llevara a cabo la acción, c0ffeebabe.eth transmitió un mensaje utilizando Mensajes de Datos Internos (IDM), que permite enviar mensajes en la blockchain de Ethereum.
“Moviendo fondos a una billetera fría por ahora, los protocolos afectados pueden contactar a través del chat de etherscan”, dijo la persona detrás del bot on-chain, señalando que mantendrían los fondos robados en una billetera digital de forma segura que tiene claves privadas aisladas de internet.
"Desplegador de Curve", una cuenta de Ethereum respondió en la cadena, identificándose como parte del equipo de Curve. "Una transacción que adelantaste fue un hackeo del pool CRV/ETH. ¿Puedo reembolsar?"
Varios expertos en seguridad blockchain le dijeron a Decrypt que la operación de c0ffeebabe.eth no parecía ser un ejemplo de adelantamiento. De todas formas, el bot finalmente se separó de lo que hubiera sido su mayor ganancia hasta ahora.
Antes del domingo, c0ffeebabe.eth había acumulado alrededor de $29.000 en ganancias a través de diferentes transacciones de arbitraje, según el perfilador de cuentas de EigenPhi. Aunque lo sucedido el domingo eclipsó el rendimiento del bot hasta la fecha, no impidió que c0ffeebabe.eth cumpliera con su servicio desinteresado y ético.
Nota del editor: Esta historia fue actualizada después de su publicación para incluir un comentario de PeckShield.