Kỹ thuật
Hệ sinh thái DeFi đã bị rung chuyển khi Curve Finance bị hack với thiệt hại gần 50 triệu USD bởi một cuộc tấn công Reentrancy, ảnh hưởng đến một số giao thức.
Việc khai thác đã dẫn đến việc tổng giá trị bị khóa (TVL) giảm 2.3 tỷ USD trên toàn hệ sinh thái DeFi, trong đó Curve Finance chứng kiến mức giảm 44%.
Bất chấp việc bán tháo CRV tàn khốc, tin tặc vẫn sở hữu một lượng lớn CRV. Thất bại trong việc phục hồi có thể có ý nghĩa nghiêm trọng đối với các giao thức cho vay.
Anh em đăng kí TOP sàn giao dịch tiền điện tử, sàn Coin lớn nhất trên thế giới, top crypto exchange ... và sàn đang Hot tại đây để được hưởng khuyến mãi hấp dẫn nhé:
Binance | Coinbase | Bybit | Huobi | ... | Remitano | 5ROI
Một số Stable Pools trên Curve Finance sử dụng ngôn ngữ lập trình Vyper đã bị khai thác vào ngày 30 tháng 7, với khoản mất mát lên tới hơn $47M. Theo Vyper, các phiên bản 0.2.15, 0.2.16 và 0.3.0 của nó dễ bị trục trặc với Reentrancy Locks.
Reentrancy là một lỗ hổng của ngôn ngữ lập trình Solidity cho phép Hacker tấn công Contract của giao thức để thực hiện lệnh cal; bên ngoài đến một Contract không đáng tin cậy. Sau khi lệnh Call xảy ra, Hacker có thể sử dụng Contract đáng ngờ này để thực hiện các cuộc gọi lặp đi lặp lại tới giao thức nhằm rửa số tiền đánh cắp được.
Trước đó giao thức DeFi Agave và Hundred Finance bị tấn công thông qua lỗ hổng này, thiệt hại 11 triệu đô la vào ngày 15/03/2022.
Curve Finance bị hack, thiệt hại ước tính sơ bộ 50 triệu USD
Nền tảng cho vay stablecoin của Curve Finance bị hack đã dẫn đến sự sụt giảm về tổng giá trị bị khoá của nhiều giao thức khác nhau. Tổn thất dường như vẫn chưa dừng lại.
Một cuộc tấn công Reentrancy đã xảy ra trên Curve Finance gây thiệt hại với số tiền lên tới 50 triệu USD vào ngày 30/7. Sự việc Curve Finance bị hack xảy ra trên một số pool ổn định, chạy các phiên bản cũ hơn của ngôn ngữ lập trình hợp đồng thông minh Vyper.
Curve Finance bị hack làm rung chuyển thị trường DeFi
Curve Finance đã cảnh báo người dùng của mình rằng một số pool ổn định (alETH/msETH/pETH) sử dụng Vyper 0.2.15 đã bị hack do khóa truy cập lại bị trục trặc. May mắn là có vẻ như pool stablecoin crvUSD không bị ảnh hưởng.
Theo tài liệu chính thức của Vyper, bản cài đặt được đề xuất thực sự là phiên bản bị lỗi. Một lỗi trong lớp ngôn ngữ hợp đồng thông minh ảnh hưởng đến hầu hết các giao thức sử dụng Vyper. Các tác nhân độc hại đang sử dụng các cuộc tấn công Reentrancy để liên tục nhập lại hợp đồng, dẫn đến các hành động trái phép hoặc trộm cắp quỹ.
Vào ngày 31/7, công ty kiểm toán và bảo mật blockchain PeckShield đã báo cáo rằng khoản thiệt hại từ vụ hack của Curve Finance cho đến nay lên tới 52 triệu USD. Hơn nữa, ngoài Curve, một số giao thức đã bị ảnh hưởng, bao gồm Alchemix, JPEG’d, Metronome, deBridge và Ellipsis.
Phiên bản Aave Ethereum v2 cũng đã vô hiệu hóa chức năng vay CRV trong bối cảnh hoảng loạn này. Hiện tại có một khoản nợ CRV trị giá 100 triệu USD từ người sáng lập giao thức Michael Egorov đang chờ thanh lý. Nếu giá CRV tiếp tục tăng và đạt đến ngưỡng thanh lý, các giao thức sẽ phải thanh lý các vị thế CRV trước đó.
Một số ước tính đã đưa ra khoản thiệt hại từ vụ hack lên tới 70 triệu USD. Tuy nhiên, một số khoản tiền này đang được quản lý bởi các bot mũ trắng và MEV và có khả năng thu hồi được. Một bot mũ trắng như vậy có địa chỉ ‘c0ffeebabe.eth’ đã trả lại 2,879 ETH trị giá khoảng 5.4 triệu USD cho địa chỉ deployer của Curve.
Tổng giá trị bị khoá bị ảnh hưởng
TVL trên toàn bộ hệ sinh thái DeFi hiện ở mức 41.5 tỷ USD và vẫn đang tiếp tục giảm. Phần lớn sự sụt giảm này là từ Curve Finance. Bản thân Curve cũng đã chứng kiến mức TVL giảm 44% xuống còn 1.8 tỷ USD tại thời điểm viết bài.
Biến động giá CRV
Giá CRV cũng đang chật vật phải đối phó với sự kiện Curve Finance bị hack này. Nó đã giảm 16% trong ngày để giao dịch ở mức 0.623 USD. Hơn nữa, CRV đã mất 23% trong hai tuần qua và vẫn giảm tới 96% so với mức cao nhất mọi thời đại.