Tình hình Curve Finance một ngày sau vụ tấn công
Curve dựa vào các hợp đồng thông minh thay vì người trung gian để cung cấp cho người dùng các dịch vụ tài chính như vay, giao dịch và cho vay stablecoin. Người gửi tiền trên Curve kiếm được lợi tức hàng năm tối đa 4% từ các StablePool trên nền tảng.
Như Interlock đưa tin, tối 30/7, nhiều StablePool (alETH/msETH/pETH) sử dụng ngôn ngữ lập trình Vyper đã bị tấn công lặp lại (reentrancy). Reentrancy attack cho phép thủ phạm rút tiền trong hợp đồng bằng cách liên tục yêu cầu chức năng rút tiền trước khi hợp đồng cập nhật số dư. Hình thức tấn công này thường được sử dụng để khai thác các giao thức DeFi.
Phản ứng dây chuyền lên nhiều dự án
Bước đầu, dự án cho vay NFT JPED'd báo cáo pool thanh khoản pETH-ETH của dự án bị rút 11.4 triệu USD. Không lâu sau, dự án cho vay Metronome cũng tiết lộ pool sETH-ETH của họ thiệt hại 1.6 triệu USD.
Đến nay, công ty bảo mật blockchain PeckShield tuyên bố tổng số tiền bị đánh cắp trên nền tảng đã vượt 52 triệu USD và có thể còn tăng thêm. Ngoài ra, đội ngũ phát triển Curve tiết lộ pool thanh khoản dựa trên Vyper cũng chịu phản ứng dây chuyền khi được triển khai trên giải pháp layer 2 Arbitrum.
Các nhà phát triển cho biết pool Tricrypto, được tạo thành từ 3 loại tiền mã hóa USDC, wBTC và ETH “có khả năng bị ảnh hưởng”. Cùng lúc đó, sàn DEX Ellipsis trên BNB Chain đã cảnh báo với cộng đồng rằng pool swap của dự án đang bị tấn công.
Công ty bảo mật BlockSec cho hay cuộc tấn công có thể gây rủi ro cho tất cả pool có WETH. Theo DefiLlama, trong 24h, TVL trên giao thức Curve Finance đã giảm gần 50% từ 3.26 tỷ USD xuống còn 1.731 tỷ USD.
Để phòng ngừa rủi ro, sàn giao dịch Hàn Quốc Upbit thông báo tạm thời đình chỉ tính năng nạp rút token CRV trên nền tảng. “Upbit sẽ tiếp tục theo dõi tình hình và người dùng nên chú ý khả năng biến động giá của Curve”, dự án tuyên bố.
Giá CRV đứng trước nguy cơ sập mạnh
Vụ hack đã khiến cho giá CRV của Curve bị biến động mạnh. Hiện tại, theo dữ liệu TradingView, token này đã giảm khoảng 13% xuống còn 0.6412 USD.
Ngoài ra, hacker được cho là đang nắm giữ số lượng lớn CRV và sẵn sàng bán tháo bất kỳ nào. Michael Egorov, nhà sáng lập Curve cũng đang sử dụng CRV làm tài sản thế chấp cho một số giao thức cho vay, bao gồm Aave.
Với hơn 100 triệu USD CRV đang được Egorov làm tài sản thế chấp trên Aave, Inverse và Abracadabra, giá CRV giảm sẽ đẩy khoản thế chấp đến nguy cơ bị thanh lý, gây ảnh hưởng đến token CRV, giao thức Curve và các dự án liên quan.
Để tránh bị thanh lý, Egorov đã trả bớt một số khoản vay. Tuy nhiên, Curve vẫn khó loại bỏ hoàn toàn được rủi ro nợ xấu và hiệu ứng dây chuyền đối với các dự án khác tiếp xúc với Curve.
Đồng thời, nền tảng Aave v2 trên Ethereum đã tắt chức năng vay CRV. Trang tin @WuBlockchain cho rằng Aave đã có động thái trên nhằm ngăn chặn các nhà giao dịch lợi dụng Curve bán khống CRV, gián tiếp gây ra chuỗi thanh lý.
Hacker mũ trắng hướng về Curve Finance
3 trong số 5 vụ khai thác đã được thực hiện bởi các bot MEV, trong đó có một cuộc tấn công vào pool pETH-ETH, pool msETH-ETH và cuộc tấn công thứ hai vào pool CRV-ETH. Theo The Block, một người chạy bot MEV có tên ENS "c0ffeebabe.eth" đã trả lại 2,879 ETH (5.4 triệu USD) trong cuộc tấn công thứ 2 cho Curve Finance.
Công ty bảo mật PeckShield ước tính lỗ hổng hợp đồng đã khiến Curve thất thoát khoảng 52 triệu USD. Tuy nhiên, nhờ sự can thiệp của c0ffeebabe.eth, số tiền bị mất giảm xuống còn 46.5 triệu USD. Khi sàn SushiSwap bị tấn công hồi tháng 4, địa chỉ này cũng từng liên hệ với dự án để hỗ trợ lấy lại tiền.
Trên trang Twitter dự án Alchemix, đội ngũ phát triển báo cáo một kẻ khai thác đã lấy 5,000 ETH từ pool alETH-ETH. Sau đó, dự án cho hay một trong 2 vụ tấn công có thể được thực hiện bởi hacker mũ trắng.