O hack que atingiu a Curve no final de semana e deixou um prejuízo de US$ 52 milhões está estressando todo o setor das finanças descentralizadas (DeFi), à medida que os investidores tentam calcular qual será o real efeito do incidente.
Além do ataque ter reforçado as dúvidas frequentes sobre a segurança no campo DeFi, a Curve traz outros fatores na balança, por ser um projeto de grande peso no mercado e que tem uma conexão próxima com outros protocolos de empréstimos importantes do setor.
O mercado também se preocupa com uma empréstimo de US$ 168 milhões que o fundador da Curve, Michael Egorovn, possui no protocolo de empréstimos Aave e que é garantida por tokens nativos CRV. Em meio a queda da criptomoeda, a posição ficou à beira da liquidação.
Se essa posição de Egorov, que corresponde a 34% da capitalização de mercado do CRV, for liquidada, uma série em cascata de liquidações pode ser desencadeada e gerar um grande prejuízo aos investidores.
Neste início da semana, o preço de grandes criptomoedas como o Bitcoin (BTC) e o Ethereum (ETH) registraram queda em meio à preocupação com a contaminação de outros projetos por CRV. O Bitcoin perdeu até mesmo o patamar de US$ 29 mil, no qual estava se equilibrando há semanas.
Risco de liquidações em série
Após o hack da Curve, o mercado cripto ficou de olhos atentos principalmente às carteiras de criptomoedas de Michael Egorovn, o fundador do projeto. Isso porque ele possui a posição de US$ 168 milhões na Aave, garantidos por CRV.
O principal problema aqui é que esse empréstimo ficou sob risco de ser liquidado como efeito da desvalorização do token CRV após o hack. A liquidação de uma posição desse tamanho poderia desencadear uma série “dominó” de liquidações à medida que ativos voltariam para o mercado, causando um aumento na oferta e a subsequente queda de preços.
“Michael Egorov tem vários empréstimos garantidos em CRV. O ataque afetou a pool CRV/ETH, o que prejudicou a liquidez do token. A liquidez on-chain não seria suficiente para garantir a posição de Egorov, o que poderia resultar em um calote nos provedores de liquidez e uma grande desvalorização do token CRV”, explica o analista de Research do MB, Lucca Benedetti.
“Além disso, muitos projetos possuem CRV em seus tesouros para garantir maior rendimento nos gauges da exchange. Com a desvalorização do CRV, esses projetos também podem ser afetados”, acrescenta.
Operação de socorro
Frente a esse risco, players do mercado cripto correram ao socorro de Egorovn. Pesos-pesados como Justin Sun, fundador da Tron, DCF God e Jeffrey Huang, também conhecido como Machi Big Brother, começaram a comprar grandes quantidades de tokens CRV de Egorov.
De acordo com a empresa de segurança on-chain PeckShield, Sun trocou 5 milhões de tokens CRV — no valor de US$ 3 milhões — de Egorov por US$ 2 milhões em USDT em uma negociação direta no balcão (OTC).
Sun confirmou a compra “com desconto” no Twitter e disse que estava “animado” em ajudar a Curve. “Como parceiros firmes, continuamos comprometidos em fornecer suporte sempre que necessário”, escreveu.
Excited to assist Curve! As steadfast partners, we remain committed to providing support whenever needed. Our joint efforts will introduce an @stusdt pool on Curve, amplifying user benefits. Together, we aim to empower the community and forge a decentralized finance!
— H.E. Justin Sun 孙宇晨 (@justinsuntron) August 1, 2023
Depois disso, Egorov recebeu US$ 1 milhão em stablecoins USDC e USDT da carteira multisig da Cream Finance e US$ 1,5 milhão em USDT do trader Jeffrey Huang, mostrou a PeckShield.
Leia Também
Uma analista da Nansen rastreou que Egorov transferiu ainda mais de 50 milhões de tokens CRV para outras entidades, incluindo o trader avançado de DeFi, DCFgod, e a empresa de investimentos Web3, DWF Labs. A estimativa é que Egorov embolsou US$ 20 milhões vendo cerca de 50 milhões de CRV por US$ 0,40 por token.
A operação de socorro parece estar sendo bem-sucedida: após despencar na segunda, CRV mudou de tendência e registra uma valorização de quase 3% na tarde desta terça (1).
The Curve OTC War updates:
— Sandra (@sandraaleow) August 1, 2023
17.5M CRV to 0xf51
5M CRV to Justin Sun
4.25M CRV to DCFGod
2.5M CRV to Ox4d3
2.5M CRV to DWF Labs
2.5M CRV to Cream: Multisig
1.25M CRV to 0xcb5
3.75M CRV to machibigbrother.eth
250k CRV to 0x9bf
Cópias da Curve em perigo
O primeiro efeito imediato do hack da Curve Finance recai sobre os projetos DeFi que foram criados usando como base o código da Curve e que, por isso, possuem a mesma brecha que permitiu o hack.
O incidente aconteceu devido a uma vulnerabilidade em um compilador antigo na linguagem de programação Vyper, amplamente usada em aplicativos DeFi. Segundo a equipe da Vyper, os contratos inteligentes desenvolvidos com as versões 0.2.15, 0.2.16 e 0.3.0 do programa são atualmente “vulneráveis a bloqueios de reentrada com defeito”.
“O hack da Curve, embora não esteja entre os 20 maiores em termos de valor roubado, é grave devido à maneira como foi executado”, explica Lucca Benedetti.
“O exploit foi possível graças a uma vulnerabilidade na linguagem de programação Vyper, não no contrato inteligente em si. Isso destaca a necessidade de uma maior diversificação das linguagens usadas para contratos inteligentes e de mecanismos mais eficazes para financiar o desenvolvimento dessas linguagens. É importante notar que a Vyper, apesar de ter sido criada por Vitalik Buterin, não recebe apoio financeiro da Ethereum Foundation. A própria Curve estava financiando os desenvolvedores do Vyper”, contextualiza.
Para Benedetti, as vulnerabilidades nas linguagens de programação usadas pelo setor cripto é um problema de alta gravidade. Ele entende que se algum erro semelhante fosse encontrado no Solidity, por exemplo, “isso poderia representar o fim das finanças descentralizadas como conhecemos”.
Novos alvos na mira
Para evitar mais ataques, a equipe da Vyper recomendou que desenvolvedores de outros dApps que usam as versões antigas da linguagem resolvam imediatamente o problema. Apesar do apelo, hackers não perderam tempo para tentar replicar o ataque da Curve em outros protocolos.
Conforme aponta o Decrypt, a equipe da Curve Finance confirmou que o pool Tricrypto — composto por USDT, WBTC e ETH — na implantação da Curve na Arbitrum, também foi “potencialmente afetado”, mas que ainda não havia sido explorado.
A Ellipsis Finance, fork autorizado da Curve com US$ 6,5 milhões em depósitos totais, twittou na segunda-feira que um “pequeno número de stablepools com BNB” havia sido invadido por hackers.
Outro efeito do ataque da Curve foi uma queda na liquidez de protocolos ligados ao projeto, como aconteceu com o Convex Finance, solução que oferece estratégia de otimização de rendimento para tokens CRV. Segundo dados da Dune, o projeto possui 298,3 milhões de tokens CRV, o que representa um terço do fornecimento circulante de CRV.
Segundo o DeFiLlma, os depósitos totais no Convex nesta terça-feira (1º) ficam por volta de US$ 1,3 bilhão, em uma queda de 52,5% em comparação aos US$ 2,9 bilhões que o projeto possuía no domingo.
Como era esperado, os investidores também diminuíram a exposição à Curve Finance. Nas 24 horas seguintes ao ataque, o protocolo perdeu cerca de US$ 1,6 bilhão em valor total bloqueado (TVL), segundo dados do Defillama. O preço do token CRV caiu mais de 10% no mesmo período.
- Não perca dinheiro. No Mercado Bitcoin, você pode fazer staking de Ethereum de maneira segura e simples. Abra sua conta agora e comece a ganhar recompensas sobre seus investimentos em criptomoedas.
