Thứ hai, 31/07/2023, 08:57 (GMT + 7)

Nền tảng DeFi hàng đầu trên Ethereum Curve Finance bị “rút ruột” 47 triệu USD

Khoản tiền điện tử trị giá hơn 100 triệu USD có thể gặp rủi ro do vụ hack Curve Finance.

Tối ngày 30/07, Curve Finance thông báo một loạt các nhóm stablepool (alETH/msETH/pETH) sử dụng ngôn ngữ lập trình Vyper 0.2.15 đã bị tấn công lặp đi lặp lại (reentracy attack).

A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.

Other pools are safe. https://t.co/eWy2d3cDDj
— Curve Finance (@CurveFinance) July 30, 2023

Cụ thể, dự án lending NFT JPED’d bị thiệt hại 11,4 triệu USD trên pool thanh khoản pETH-ETH, dự án Metronome bị thiệt hại 1,6 triệu USD trên nhóm thanh khoản sETH-ETH, alETH của Alchemix cũng rơi vào trường hợp tương tự thiệt hại ước tính 13,6 triệu USD.

Đến ngày 31/07áo cáo về việc lỗ hổng trên deBridge và Ellipsis, với tổng thiệt hại là 26,76 triệu USD. Chưa dừng lại, pool CRV/WETH cũng bị tấn công, bòn rút 7 triệu CRV và 14 triệu USD WETH.

Đáng chú ý, vụ tấn công xảy ra chỉ ít phút trước khi các hacker mũ trắng tiến hành một chiến dịch giải cứu những pool thanh khoản bị ảnh hưởng bởi lỗ hổng reentrancy được phát hiện vào tối 30/07.

Ngay sau khi tin tức vụ hack được lan truyền, sàn giao dịch crypto lớn nhất Hàn Quốc là Upbit đã thông báo tạm dừng hoạt động nạp, rút CRV.

Hiện tại, đã có hơn 47 triệu USD bị rút khỏi các nhóm trên Curve. Tuy nhiên, đội ngũ dự án cũng lên tiếng trấn an cộng đồng rằng “các pool Volatile và các pool liên quan đến stETH, frxETH, cbETH, rETH, sETH vẫn an toàn”. Đồng thời, dự án đang nỗ lực điều tra nguyên nhân và khắc phục sự cố.

Song, vẫn chưa rõ lý do chính xác của hàng loạt vụ exploit liên quan đến pool thanh khoản của Curve. Theo phỏng đoán, có 2 lý do chính, đó là:

Do lỗ hổng trong 3 phiên bản 0.2.15/0.2.16/0.3.0 của ngôn ngữ lập trình VyperLang.
Hacker Re-Entrancy sử dụng hàm "get_virtual_price" (vốn để xác định giá thị trường của các LP Token) của Curve Finance để thao túng chỉ số giá oracle và từ đó tạo vòng lặp rút tiền.

Được biết, Curve Finance là một nền tảng giao dịch phi tập trung tối ưu cho việc giao dịch stablecoin và các tài sản khác. Factory pool là mô hình cho phép dự án hoặc cá nhân có thể khởi chạy nhóm thanh khoản của riêng họ thông qua cơ sở hạ tầng của Curve.

Vụ hack đã gây ra sự hoảng loạn trên toàn hệ sinh thái DeFi, thúc đẩy làn sóng giao dịch từ phía nhà đầu tư. Đặc biệt, tính thanh khoản của CRV cũng giảm đáng kể trong những tháng gần đây, khiến giá đồng token này dễ bị biến động dữ dội.

Sau thông tin bị hack, giá CRV đã giảm hơn 17%. Tại thời điểm viết bài, CRV đang giao dịch quanh mức 0,62 USD, giảm 15% trong 24 giờ qua, với TLV đạt 4,3 tỷ USD.

Biểu đồ nến 4h biến động giá CRV.