Um rombo de US$ 15 bilhões foi evitado pelo protocolo Convex após a correção de um bug. A plataforma que aumenta as recompensas para aqueles que usam a stablecoin Curve resolveu uma vulnerabilidade poderia resultar em um golpe conhecido como rug pull.
Este tipo de golpe ocorre quando idealizadores de projetos de criptomoeda aparentemente legítimos fogem com fundos de investidores.
Desde o ano passado, este tem sido um dos golpes mais aplicados no mercado cripto. Um dos casos mais emblemáticos foi o do token Squid Game (SQUID), inspirado na série Round 6. Após um ataque rug pull, o preço do token desabou de R$ 16.000 para R$ 0,01 em apenas cinco minutos.
No caso da Convex Finance, a empresa de segurança em blockchain OpenZeppelin foi quem descobriu o bug. A descoberta ocorreu durante uma auditoria de segurança do protocolo Convex Finance para a Coinbase.
De acordo com as descobertas da empresa, se dois dos três assinantes de carteira multi-assinatura da Convex executassem uma série específica de etapas, eles poderiam obter acesso a um conjunto de tokens de provedores de liquidez.
Assim, como a Convex detém a maioria das stablecoins CRV da Curve Finance em circulação, fundos consideráveis estavam em risco.
Segundo o relatório da OpenZeppelin, a vulnerabilidade poderia permitir que os desenvolvedores anônimos da Convex conseguissem controlar o valor total bloqueado (TVL) da Convex. Na época que o bug foi descoberto, o TVL era de cerca de US$ 15 bilhões.
Hoje, segundo dados da plataforma DeFi Llama, o TVL da Curve Finance está em US$ 13,8 bilhões.
Conforme aponta o relatório, a vulnerabilidade só poderia ser explorada ou corrigida pela equipe de desenvolvimento da Convex, o que, segundo o OpenZeppelin, tornou o processo de divulgação complicado.
A empresa disse ainda que aparentemente o bug não era intencional. Ou seja, os desenvolvedores não sabiam da vulnerabilidade e, assim, não tinham a intenção de fugir com fundos dos usuários.
No entanto, se a análise da OpenZeppelin estivesse equivocada, poderia ser um verdadeiro desastre informar as próprias pessoas com o poder de conduzir o rug pull sobre o bug.
Apesar disso, a vulnerabilidade já foi corrigida e nunca foi explorada.
Lorena Amaro
