No último domingo, US$ 52 milhões foram roubados da exchange Curve Finance devido a uma falha envolvendo pools de liquidez e um problema na linguagem usada para contratos inteligentes na Ethereum. Entretanto, um bot de negociação interveio e conseguiu recuperar US$ 5,4 milhões copiando o esquema de ataque dos hackers.
Os invasores manipularam o preço dos tokens nos pools de liquidez, mas um indivíduo usou a mesma falha para superá-los. Essa pessoa, com um bot sob o nome “c0ffeebabe.eth”, conduziu uma jogada altamente sofisticada. O robô executou um empréstimo relâmpago de 100 Ethereum do Balancer, um protocolo de liquidez que exige que o devedor pague o empréstimo na mesma transação. Em seguida, usando a Uniswap, o bot se beneficiou da discrepância de preço entre o token de governança da Curve (CRV) e o CRV da Uniswap.
Ao explorar o bug da linguagem Vyper, o bot conseguiu trocar seu CRV por 2.949 Ethereum, um lucro considerável. No total, ele assegurou cerca de US$ 5,4 milhões em Ethereum a partir da falha no pool de liquidez CRV-ETH da Curve. Além disso, ele também foi creditado por obter cerca de US$ 1,6 milhão do protocolo Metronome, dos quais 90% foram devolvidos.
Após a jogada bem-sucedida, o proprietário do bot optou por devolver os fundos para a Curve Finance. Eles enviaram uma mensagem na cadeia (on-chain), indicando que os fundos roubados foram movidos para uma carteira segura, e convidaram os protocolos afetados a contatá-los através do chat do etherscan.
Embora o bot estivesse envolvido em esquemas menores anteriormente, este incidente foi de longe o mais significativo, mas ele permaneceu fiel à sua intervenção ética. A falha foi resultado de uma combinação de empréstimos relâmpago, Uniswap e o bug Vyper, exigindo um profundo conhecimento e compreensão do ecossistema DeFi.