Secondo i dati di PeckShield Alert, uno sconosciuto bot Miner Extractable Value (MEV) è caduto vittima di un attacco informatico, causando una perdita di circa 2 milioni di dollari.
L'incidente, avvenuto nei rinomati pool di curve, ha portato a molteplici swap di grandi dimensioni e al successivo arbitraggio di swap inverso.
L’attaccante manipola il pool di curve
Lo sfruttamento si è verificato quando la funzione di arbitraggio, 0xf6ebebbb(), non disponeva di un'autenticazione adeguata, fornendo all'aggressore una porta aperta per manipolare gli scambi su più pool di curve. Questa attività dannosa ha comportato un significativo slittamento, causando perdite sostanziali per le parti interessate.
#MEV Un bot MEV sconosciuto è stato sfruttato (con una perdita di 2 milioni di dollari) per effettuare molteplici scambi di grandi dimensioni nei pool #curve , causando arbitraggi con semplici scambi inversi.
https://t.co/POY91xvwC4 pic.twitter.com/vu1CaxSrdt— PeckShieldAlert (@PeckShieldAlert) 8 novembre 2023
Man mano che la situazione si evolveva, l’aggressore ha astutamente invertito gli scambi per massimizzare i propri profitti, aggravando l’impatto di questo incidente.
L'aggressore ha sfruttato un bot di arbitraggio, provocando una perdita di 2,3 milioni di dollari attraverso il pool Curve. Hanno scoperto una funzione esposta all'interno del bot, che ha permesso loro di attivare una transazione da Wrapped Ether (WETH) a Wrapped Bitcoin (WBTC).
Successivamente, hanno eseguito un prestito lampo per 27.255 WETH (equivalenti a 51,36 milioni di dollari), utilizzandolo per manipolare in modo significativo il rapporto di prezzo WETH/WBTC all'interno del pool Curve.
Destabilizzando il pool, l'aggressore ha costretto il bot di arbitraggio a convertire 1.339,8 WETH (circa 2,52 milioni di dollari) in 6,95 WBTC (circa 244.000 dollari).
È importante notare che il proprietario del bot MEV aveva già prelevato i fondi dal contratto prima dell’attacco.
Curve Finance precedenti exploit
Il 30 luglio 2023, si sono verificati una serie di sfruttamenti in più pool di liquidità su Curve Finance, con conseguenti perdite di circa 70 milioni di dollari. Questo incidente ha sollevato notevoli preoccupazioni all’interno della comunità DeFi. Gli attacchi sono stati resi possibili a causa di una vulnerabilità in Vyper, un linguaggio di programmazione Python di terze parti utilizzato dai contratti intelligenti di Ethereum, compresi quelli di Curve e altri protocolli decentralizzati.
È importante notare che, in seguito all’incidente iniziale, sia gli hacker white hat che gli operatori bot Miner Extractable Value (MEV) hanno collaborato per recuperare una parte dei fondi perduti. Di conseguenza, il valore finale delle perdite potrebbe essere inferiore a quanto suggerito dai rapporti iniziali.
Meno di una settimana dopo l'exploit, l'hacker ha restituito ad Alchemix 4.820 alETH e 2.258 ETH, per un totale di circa 12,7 milioni di dollari.
Il 6 agosto 2023 Curve Finance ha annunciato tramite Twitter che era scaduto il termine entro il quale l'hacker poteva restituire volontariamente i fondi rimanenti. Di conseguenza, la società ha esteso la sua offerta di ricompensa di 1,85 milioni di dollari a chiunque potesse identificare l’hacker.
Il post Il bot MEV sfruttato comporta una perdita di 2 milioni di dollari negli scambi di pool di curve: i dati sono apparsi per primi su CryptoPotato .