Los usuarios de Conic Finance huyen después de que los piratas informáticos robaran 4 millones de dólares – MundoDaily

Conic Finance, un protocolo que ofrece exposición diversificada a fondos de liquidez en Curve, un popular DEX, ha perdido dos tercios de sus depósitos desde que sufrió dos ataques a fines de la semana pasada.

En una autopsia del 23 de julio, el equipo dijo que perdió 4,1 millones de dólares en dos ataques separados dirigidos a sus piscinas dos días antes. Los incidentes sacudieron la confianza de los inversores en Conic, y su monto total bloqueado cayó un 72%, de 157 millones de dólares el 21 de julio a 43 millones de dólares. Su token nativo, CNC, también cayó un 57% durante el mismo período.

Los depósitos en Conic siguen desactivados y el equipo afirma que quiere «abordar todos los problemas de seguridad con cuidado» antes de permitir más entradas de capital. Los usuarios pueden realizar retiros y los proveedores de liquidez existentes continúan obteniendo rendimientos con normalidad.

El incidente sirve como recordatorio de la compensación riesgo-recompensa para los agricultores de DeFi que buscan ingresos. Si bien protocolos como Conic pueden ofrecer mayores recompensas en comparación con simplemente depositar activos en protocolos probados en batalla como Curve Finance, los ingresos adicionales vienen con la mayor complejidad de los contratos inteligentes y, por lo tanto, las oportunidades para que los piratas informáticos identifiquen y exploten vectores de ataque.

Nuevas omnipiscinas

Conic Omnipools distribuye los depósitos de los usuarios en múltiples grupos de Curve y apuesta los tokens LP correspondientes en Convex Finance para obtener ingresos adicionales. Los usuarios reciben recompensas en forma de tokens CRV de Curve, CVX de Convex y CNC de Conic, así como tarifas comerciales en Curve. El protocolo se lanzó en marzo.

Conic dijo que Hexagate, una empresa de inteligencia de amenazas web3, se puso en contacto con ella el 21 de julio después de que la empresa identificara los primeros signos de un posible exploit dirigido a ETH Omnipool de Conic mediante un ataque de reentrada.

Un ataque de reentrada es una maniobra maliciosa en la que un atacante llama repetidamente a una función dentro de un contrato inteligente antes de que se complete su llamada a función anterior, explotando la lógica del contrato para drenar fondos o manipular datos.

El hacker pudo manipular el precio del token rETH Curve LP en Conic, lo que les permitió acuñar más tokens cncETH LP de los que debería permitir su garantía rETH.

«Pudieron ejecutar este ataque de bucle, depositando y retirando a un tipo de cambio positivo para drenar los fondos de Omnipool», dijo Conic. El ataque resultó en 3,2 millones de dólares de pérdida para el protocolo.

Conic dijo que si bien tenía medidas de seguridad para protegerse contra ataques de reentrada, el ataque aprovechó una suposición técnica falsa con respecto a los grupos Curve v2 en su código.

Posteriormente, Conic fue alertada sobre transacciones sospechosas dirigidas a su crvUSD Omnipool, lo que llevó al equipo a cerrar todos sus Omnipools después de identificar una pérdida de 11 ETH en un complejo ataque tipo sándwich. Se robaron aproximadamente 934 000 dólares de crvUSD Omnipool en total, lo que generó alrededor de 300 000 dólares en ganancias para el atacante.