Curve Finance bị tấn công

Theo thông báo từ dự án, hàng loạt các stablepool (alETH/msETH/pETH) sử dụng ngôn ngữ lập trình Vyper 0.2.15 đã bị tấn công lặp lại (reentracy). 

"Chúng tôi đang đánh giá tình hình. Các pool khác đều an toàn", Curve cập nhật tình hình trên Twitter. 

Sự việc bắt đầu vào tối ngày 30/7, JPED'd, dự án cho vay NFT, thông báo bị tấn công trên pool thanh khoản pETH-ETH, với thiệt hại lên đến 11.4 triệu USD. Tiếp đó, pool sETH-ETH của dự án Metronome cũng gặp phải tình trạng bị rút hơn 1.6 triệu USD. Lần lượt sau đó là báo cáo của các dự án như Alchemix, Debridge, Elippsis...

Tính đến thời điểm bài viết, hơn 41 triệu USD đã bị rút khỏi các pool trên Curve vì lý do trên, theo công ty bảo mật BlockSec. 

Curve Finance là sàn giao dịch phi tập trung tối ưu cho việc giao dịch stablecoin và các tài sản khác Factory pool là mô hình cho phép dự án hoặc cá nhân có thể khởi chạy pool thanh khoản của riêng họ thông qua cơ sở hạ tầng của Curve. 

Igor Igamberdiev, Trưởng bộ phận Nghiên cứu của Wintermute, cho biết kẻ tấn công đã triển khai tấn công lặp lại (reentracy) đến các factory pool sử dụng phiên bản lập trình của Vyper. Hơn 100 triệu USD tài sản nằm trong các factory pool đang gặp nguy hiểm vì bug trong ngôn ngữ Vyper. Tuy nhiên, Vyper cho biết chỉ phiên bản 0.2.15, 0.2.16 và 0.3.0 có nguy cơ bị tấn công khi tính năng phòng ngừa reentracy không khả dụng. 

Để giảm thiểu ảnh hưởng, Mimaklas, thành việc của đội ngũ dự án, cho biết tất cả các pool bị ảnh hưởng đã được rút thanh khoản bởi các đội hacker mũ trắng. 

CRV, token của Curve DAO, đã giảm hơn 17% kể từ khi vụ tấn công đầu tiên diễn ra, hiện được giao dịch ở mức 0.61 USD (theo TradingView). 

Cập nhật: Theo DefiLlama, TVL của Curve Finance đã giảm hơn 40% còn 1.94 tỷ USD trong khi Convex Finance giảm tới 46.8% còn 1.55 tỷ USD trong 24 giờ qua. 

Đọc thêm: Trào lưu memecoin lan đến Layer 2 Base.