Hackeo a Curve expone la fragilidad de las criptomonedas y del ecosistema DeFi


El hackeo a Curve Finance, protocolo de finanzas descentralizadas, que funciona como un DEX de stablecoins dentro de la blockchain Ethereum, continúa causando asombro. Su tecnología de funcionamiento está basada en pool de liquidez. Lo cual, permitió desde su fundación que los inversores llevarán adelante el intercambio de activos digitales. 

Gracias a su dinámica, los proveedores de liquidez se beneficiaban significativamente, obteniendo rentabilidades. Sin embargo, las pools que tantas utilidades otorgaron en algún momento, fueron el punto débil que permitió el ataque. 

Dichos pools de liquidez de Curve están codificadas bajo el lenguaje de programación Vyper, que habiendo sufrido un error en tres de sus versiones, permitió que hackers ingresaran en el sistema, y se hicieran de más de 70 millones de dólares.

El daño de la explotación en cadena, se vio incrementado en gran parte por el hecho de que los detalles del error se viralizaron rápidamente por la red social Twitter. Luego, fue casi imposible mitigar dichas explotaciones.

El hackeo a Curve

Si bien las investigaciones avanzan, es poco lo que trasciende. En principio se conoce que ciertas versiones del compilador de Vyper no habían implementado adecuadamente la guardia de reentrada. Sin entrar en tecnicismos, es importante que comprendamos que algunas versiones de Vyper son vulnerables al mal funcionamiento de los bloqueos de reentrada, es decir, que hubo un fallo en sus bugs. 

Lo antes mencionado, abrió la puerta a una seguidilla de robos, donde se vieron afectados otros proyectos financieros descentralizados como Ellipsis, Alchemix. Este último vio fugarse 13,6 millones de dólares, y Metronome más de 1,6 millones de dólares. Pero hay muchos más damnificados.

Como parte de las repercusiones, también debemos mencionar que el token nativo de Curve, el CRV, se desplomó. Lo que dio pie al temor de que algunos protocolos de préstamo podrían combinarse con deudas incobrables. 

La vulnerabilidad de las criptomonedas y el ecosistema DeFi


El CEO y fundador de Curve Finance, Michael Egorov tenía más de 100 millones de dólares en préstamos, los cuales estaban respaldados en un 47% por suministro circulante del token CRV. El temor de que los préstamos perdieran liquidez tras el incidente genero que el precio de la criptomoneda CRV,  se desplomara en más de un 30%. 

El espiral de la muerte en el que por poco entra el ecosistema DeFi fue positivamente sorteado, gracias al accionar que tomó Egorov, que en busca de reducir su deuda. Vendió 39,25 millones de tokens CRV a varios inversores notables de DeFi, incluidos Justin Sun (Fundador de TRON), Machi Big Brother y DWF Labs. 

El CEO de Curve logro una solución a mediano plazo, que disminuyo su deuda y que hizo que el precio de cotización de CRV dejase de caer. Pero, todo esto dio pie a una apertura mayor en la incógnita respecto a la naturaleza real de la descentralización DeFi. Ya que el suceso, puso de rodillas a todo el ecosistema.

El hackeo a Curve afecta a las criptomonedas 

Los protocolos DeFi fueron expuestos a una prueba de estrés, y esto llevó a aumentar la preocupación sobre el impacto que el hackeo a Curve ha tenido sobre todo el ecosistema. La preocupación radica en que Vyper es un lenguaje de programación de contratos diseñado para funcionar sobre Ethereum

Bajo este paradigma, se desprende que si uno de los lenguajes web3 más empleados, sufrió fallos en tres de sus versiones, están en riesgo numerosos protocolos en el mundo cripto. Hasta el momento, podemos suponer que el ataque dejó al descubierto las vulnerabilidades de los proyectos DeFi. 

En resumen, el hackeo a Curve demostró que se ha vulnerado uno de los protocolos más importantes del ecosistema de las criptomonedas. Es así como se produjo un marcado efecto rebote en el mercado cripto, viendose afectadas enormemente las acciones de empresas relacionadas con criptodivisas y la tecnología blockchain

Negociaciones para encontrar al hacker responsable 

En primer lugar, tanto Curve como otros protocolos víctimas del ciberataque, intentaron negociar con el responsable, ofreciendo el 10% como recompensa por devolver los fondos robados. Tras aceptar, comenzó el reintegro cumpliendo con Alchemix Finance, fueron 22 millones de dólares, mientras JPEG informó que recuperó lo robado y que se abstendrá de tomar medidas legales. 

Sin embargo, era demasiado positivo pensar en un simple final feliz y el protocolo de Metronome como el de Curve no corrieron con suerte. Es así como tras superar el plazo final para la devolución de fondos, que era el pasado 6 de agosto, ahora se anuncia que se recompensará a quien contribuya con datos certeros del atacante. 

La campaña que difunde Curve, detalla que resta por recuperar aproximadamente 18 millones de dólares, lo que significa una recompensa de alrededor de 1,8 millones de dólares. Ese 10% que en principio se destinó a tentar al hacker, ahora podría ser para cualquier persona capaz de proveer información real y útil. 


Al ser Vyper un sistema tan vulnerable, esto afecta a todo el ecosistema DeFi y naturalmente la confianza de los usuarios se desploma. Tal cual comentó William Ou, CEO de token.com, “este caso expone los riesgos de DeFi, un espacio aún experimental. DeFi aún no es seguro para los usuarios habituales” 

Asi mismo argumento, “Mucha gente considera que los proyectos de tokens más establecidos como Bitcoin y Ethereum son riesgosos, pero DeFi es un territorio aún más riesgoso. Esta es una consideración importante a tener en cuenta al explorar la economía de tokens”

Artículos relacionados