Curio experimenta exploit con pérdidas que ascienden a los $16 millones

Curio Invest, la firma de liquidez de activos del mundo real, experimentó un ataque cibernético relacionado con privilegios de voto que reportó pérdidas cercanas a los $16 millones.

Alerta de Curio

A través de su perfil oficial en X, Curio informó a la comunidad que estaba siendo víctima de un exploit de smart contract dentro de su ecosistema:

Community Alert: We've just been notified of a smart contract exploit within our ecosystem. Unfortunately, MakerDAO’s based Smart contract used within our ecosystem were exploited on the Ethereum side. We're actively addressing the situation and will keep you updated. Rest…

— Curio Ecosystem | Tokenize The World (@curio_invest) March 23, 2024

Indicaron que el smart contract vinculado estaba basado en MakerDAO y únicamente fue violado en el lado de Ethereum, por lo que los contratos de Polkadot, la blockchain de código abierto, y Curio Chain, la aplicación para blockchain, estaban seguros.

Pérdidas reportadas

CyverAlerts, la firma de seguridad Web3, publicó en su perfil oficial en X que las pérdidas de Curio relacionadas con el ataque ascendieron hasta $16 millones:

🚨ALERT🚨@curio_invest has experienced a $16M exploit involving a smart contract based on @MakerDAO within their ecosystem!

The exploit appears to stem from a permission access logic vulnerability. The attacker leveraged this vulnerability to mint an additional 1B $CGT.… https://t.co/xWvvYzrWaI pic.twitter.com/mdrKyV3t9U

Publicidad

— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) March 25, 2024

En la publicación, la firma reveló que las primeras impresiones sugieren que el ataque surgió de una vulnerabilidad en la lógica de acceso a los permisos mediante la que el hacker pudo generar 1.000 millones de Curio Governance Token (CGT), el token de gobernanza del protocolo.

Informe post-mortem

Después del ataque, el equipo se concentró en desarrollar un informe que abordó el reciente incidente dentro del protocolo.

El documento confirmó lo expuesto por CyverAlerts además de añadir que la vulnerabilidad se originó debido a una falla en el control de acceso a los privilegios de poder de voto.

Según explicaron, a través del poder obtenido, el hacker pudo ejecutar la función “plot” mediante la cual aprobaba un smart contract malicioso que actuó como biblioteca “exec”. De esta forma, pudo hacer llamadas delegadas a esa biblioteca en particular para así violar el contrato de CurioDAO.

Sin embargo, el informe también contó con un plan de compensación que será implementado por etapas con la finalidad de reembolsar los fondos robados al protocolo.

Plan de compensación

En base a lo expuesto en el plan, el reembolso completo de los fondos podría tardar hasta un año, ya que una sección del documento indica:

“El programa de compensación constará de 4 etapas consecutivas, cada una con una duración de 90 días. Durante cada etapa: la compensación se pagará en USDC/USDT, equivalente al 25% de las pérdidas incurridas por el segundo token en los pools de liquidez.”

En la primera etapa del plan, Curio anunció que lanzará CGT 2.0, una actualización del token de gobernanza actual, durante la segunda semana de abril.

A su vez, aseguraron que restaurarán el 100% de los fondos en CGT a los titulares, proveedores de liquidez y usuarios de exchanges de criptomonedas centralizados, además de también considerar a las redes compatibles con el ecosistema de CurioDAO.