La plataforma de equilibrio de fondos de liquidez para Curve, Conic Finance, sufrió un ataque que aprovechó de una vulnerabilidad en el contrato CurveLPOracleV2.
Conic Finance, una plataforma de equilibrio de fondos de liquidez para el protocolo DeFi Curve, sufrió un ataque la noche del 21 de julio de 2023 por un pirata que logró drenar alrededor de 1700 ETH (más de 3,2 millones de dólares).
El atacante utilizó un ataque de reentrada y repitió las órdenes de retiro antes de que Oracle actualizara el saldo correcto, lo que le permitió manipular el sistema Oracle de la plataforma y extraer los fondos del pool de Ethereum.
Casi todos los fondos robados a una nueva dirección de Ethereum en una sola transacción, según datos proporcionados por BlockSec.
Según el análisis de la firma de seguridad de blockchain PeckShield, la causa raíz proviene del nuevo contrato CurveLPOracleV2, que se encarga de proporcionar los precios actualizados de los activos del pool.
Conic Finance confirmó rápidamente la noticia en Twitter, afirmando que la plataforma estaba investigando el incidente y había desactivado los depósitos de ETH Omnipool en la interfaz de usuario de Conic.
Conic Finance consiste en un protocolo DeFi diseñado para asignar fondos al intercambio descentralizado Curve utilizando los fondos de liquidez que opera.
Sturdy Finance también fue víctima de un ataque Oracle hace un mes
En el ecosistema DeFi, los sistemas Oracle juegan un papel importante porque proporcionan datos de precios reales. Sin embargo, Oracle también es un objetivo potencial para que los atacantes exploten sus vulnerabilidades.
El 12 de junio de 2023, la plataforma de préstamos Sturdy Finance fue víctima de un ataque Oracle, que mostró el precio incorrecto y permitió al atacante extraer con éxito unos 800.000 dólares. El atacante realizó esta manipulación del oráculo y provocó que mostrara el precio incorrecto del activo stETH en el pool B-stETH-STABLE, y finalmente se retiró de la plataforma.
Después del ataque, Sturdy Finance ofreció una recompensa de 100.000 dólares al atacante si devolvía todos sus activos ETH robados antes de un día.
La piratería de los protocolos DeFi no es nueva en el mercado de las criptomonedas. Aunque hay informes de que los ataques disminuyeron drásticamente en comparación con años anteriores, la comunidad todavía ha presenciado muchos ataques piratas en el pasado.
Más recientemente, a principios de julio de 2023, el puente multicadena ChainSwap también fue sospechoso de ser explotado cuando la firma de seguridad PeckShield descubrió que 130 millones de dólares en criptomonedas se habían retirado de la plataforma.
