Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 184Ataque de gobernanza

Mint por poder de voto en Curio

Un atacante compró una posición nominal de CGT, explotó un fallo de un fork de MakerDAO para amplificar el voto y acuñó 1B de CGT (~$16M) en Curio.

Fecha
Víctima
Curio
Cadena(s)
Ethereum
Estado
Fondos robados

El 23 de marzo de 2024, el protocolo de RWA tokenizado CurioDAO fue explotado por aproximadamente 16 millones de dólares — acuñados como 1.000 millones de tokens CGT (Curio Governance Token) al atacante. La vulnerabilidad estaba en un contrato inteligente fork de MakerDAO responsable de la gestión del poder de voto; el atacante compró una pequeña posición de CGT, usó un bug para amplificar dramáticamente su poder de voto, y usó el poder de voto inflado para votar acciones arbitrarias del contrato incluyendo el mint malicioso.

Qué ocurrió

La gobernanza de CurioDAO se construyó sobre un contrato inteligente derivado de MakerDAO para gestionar el poder de voto y la ejecución de propuestas. El fork había heredado una vulnerabilidad en cómo se calculaba el poder de voto delegado: bajo secuencias de llamada específicas, un pequeño titular de CGT podía explotar el cálculo para reclamar un poder de voto muy superior a su saldo real de CGT.

El ataque:

  1. El atacante adquirió una cantidad nominal de CGT mediante compras normales de mercado.
  2. Explotó el cálculo de poder de voto para registrarse como titular de poder de voto amplificado — efectivamente una posición mayoritaria en la gobernanza de CurioDAO.
  3. Con poder de voto mayoritario, ejecutó acciones arbitrarias en el contrato de Curio DAO — incluyendo una propuesta para acuñar 1.000 millones de tokens CGT directamente a la dirección del atacante.
  4. El mint se ejecutó; el atacante mantuvo 1B de CGT valorados nominalmente en ~$16M a los precios de mercado previos al ataque.
  5. Volcó el CGT a través de liquidez DEX, extrayendo valor real antes de que el mercado descontara la dilución.

Consecuencias

  • CurioDAO pausó los contratos afectados y anunció una estrategia de recuperación.
  • El equipo lanzó CGT 2.0 — un nuevo token emitido a titulares legítimos de CGT previos al ataque, efectivamente anulando el suministro acuñado del atacante.
  • Se anunció un programa de recompensa white-hat ofreciendo el 10% de los fondos recuperados a cualquiera que ayudara a rastrear al atacante.
  • Los fondos robados fueron blanqueados a través de canales estándar.

Por qué importa

Curio es uno de varios incidentes que destacan el problema de herencia de forkear sistemas de gobernanza battle-tested. Los contratos de gobernanza de MakerDAO han sido desplegados y probados a la mayor escala de cualquier DAO; su comportamiento en MakerDAO es bien entendido. Los forks que modifican la lógica circundante de distribución de tokens y peso de voto sin re-auditar heredan cualquier vulnerabilidad compuesta que introduzcan las modificaciones.

El patrón se repite:

  • Audius (jul 2022) — un inicializador re-invocable permitió al atacante auto-delegarse 10 billones de AUDIO.
  • Beanstalk (abr 2022) — mayoría de gobernanza adquirida con préstamo flash.
  • Curio (mar 2024) — un bug en el cálculo de poder de voto amplificó un pequeño saldo a mayoría.

Las respuestas defensivas — poder de voto ponderado por tiempo, bloqueo de tokens antes de la elegibilidad de voto, timelocks entre la aprobación de la propuesta y la ejecución, veto de emergencia multi-sig — existen en el toolkit moderno de gobernanza de DAOs y son cada vez más estándar. Los forks que se envían sin ellas siguen siendo candidatos a exploit.

La reemisión de CGT 2.0 como mecanismo de recuperación también es notable: este enfoque funciona solo para tokens de pequeña capitalización con distribución de tokens controlable. Es esencialmente el enfoque "estamos votando para deshacer esto on-chain" a la inmutabilidad, y funciona cuando los titulares + contrapartes del protocolo aceptan reconocer el nuevo token.

Fuentes y evidencia on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-curio-hack-march-2024
  2. [02]cryptonews.comhttps://cryptonews.com/news/curio-hit-by-16-million-exploit-due-to-voting-power-vulnerability/
  3. [03]cryptotimes.iohttps://www.cryptotimes.io/2024/03/26/curio-strikes-back-with-cgt-2-0-following-16-million-exploit/

Registros relacionados