Chủ nhật ngày 30/7, nhiều dự án DeFi đã bị tấn công do lỗ hổng liên quan với ngôn ngữ lập trình Vyper.
Curve Finance nằm trong số các dự án đó, một số pool trên Curve sử dụng Vyper 0.2.15 bị khai thác và tổn thất hơn 69 triệu đô.
Mức độ phức tạp của vấn đề tăng lên khi người sáng lập của Curve Finance sử dụng một lượng lớn CRV để thế chấp và vay một lượng lớn các Crypto Asset khác trên các DeFi Protocol khác nhau như như Aave, MIM và Fraxlend.
Giá CRV giảm mạnh và ảnh hưởng tới khoản vay của Curve founder
Hơn 69 triệu đô tài sản trên các pools của Curve Finance bị hack do lỗi liên quan tới bug trong Vyper Compiler ở các phiên bản 0.2.15, 0.2.16 và 0.3.0.
Cụ thể:
- JPEG’D lỗ mất 11.5 triệu đô từ pool pETH/ETH
- Alchemix lỗ mất 20.5 triệu đô từ pool alETH/ETH (đã lấy lại được 11.5 triệu đô)
- Metronome lỗ mất 1.6 triệu đô từ pool msETH-ETH do bị tấn công frontrun bởi MEV bot
- Đặc biệt, dự án Curve cũng đã bị mất 24.2 triệu đô từ pool CRV/ETH, trong đố 5.4 triệu bị frontrun bởi
Ngay lập tức, giá CRV đã giảm hơn 15%, trong khi lượng TVL trên Curve giảm hơn 50% từ 3.26 tỷ đô xuống còn 1.84 tỷ đô do nghi ngại về rủi ro trên các pools.
Chưa dừng lại ở đó, founder của Curve – Michael Egorov, được biết đã thế chấp hơn 427.5 triệu token CRV (47% nguồn cung của CRV) để vay hơn $100M crypto assets khác trên các nền tảng khác nhau.
Vị thế của CEO Curve trên một số dự án DeFi lớn:
- Aave v2: thế chấp 304,926,723 CRV (~166 triệu đô) để vay 63.2 triệu USDT và 6k USDC . Khoản vay sẽ bị thanh lý hơn khi giá CRV giảm hơn
- MIM: thế chấp 63,404,437 CRV (~33.5 triệu đô) để vay 18.2 triệu MIM.
- FRAX lend: 59,107,195 CRV (~31.2 triệu đô) để vay 17.2 triệu FRAX. Hiện tại, CRV founder đang sử dụng chế độ time-weighted variable rate, với APY sẽ tăng gấp đôi sau 12 giờ nếu Utilization rate ~ 100%.
Nếu không sớm hoàn trả khoản vay này, APY phải trả sẽ lên đến hơn 10,000% chỉ sau hơn 3 ngày. Hiện tại, mức thanh lý là 0.39 CRV/FRAX cho 59 triệu token CRV.
Curve hiện đang trong tình thế cực kỳ rủi ro khi hacker từ các pool CRV có thể bán phá giá CRV trên thị trường thứ cấp khiến giá token này giảm mạnh và khiến Curve Founder bị thanh lý.
Hành động của Curve & Curve founder
Để giảm thiểu rủi ro thanh lý và hiệu ứng domino lên thị trường, Curve đã đưa ra một số giải pháp.
- Liên hệ với hacker để xin hoàn trả với khoản hack. Tuy nhiên, hacker chưa đưa ra bất cứ hồi đáp nào.
- Khuyến khích users lend FRAX ở CRV market thông qua incentives farming: crvUSD-fFRAX(crv) nhằm giảm utilization rate (tỷ lệ hiệu quả sử dụng vốn) trên Frax lend.
- OTC FRAX, sử dụng chúng để hoàn trả khoản vay trên Fraxlend.
Dữ liệu on-chain cho thấy Curve founder có thể đang bán OTC token CRV nhằm thu về FRAX để hoàn trả cho khoản vay trên FRAX lend. Đã có 5 triệu USDT được chuyển vào địa chỉ ví CEO của Curve để rút ra tổng cộng 12.5 triệu token CRV từ phía Frax lend.
Điều này đã làm giảm Utilization rate (tỷ lệ hiệu quả sử dụng vốn) từ 99.99% xuống còn ở mức 68%. Theo cơ chế tính rate của Frax lend, nếu Utilization rate thấp hơn ngưỡng target (75%-85%), thì APY sẽ giảm dần.
CEO Egorov có thể đã chấp nhận bán CRV với giá $0.4 OTC nhằm ngăn chặn diễn biến trở nên xấu đi. Ngay lập tức, giá CRV đã hồi phục mạnh mẽ lên mức giá $0.58. Nhiều nguồn tin cho thấy Justin Sun đã đứng sau và thực hiện số giao dịch OTC trên.
Rủi ro có thể lan rộng
Ảnh hưởng tới các Lending & Borrowing protocol
Việc thanh lý Position của Curve Founder đã ảnh hưởng xấu đến các Lending & Borrowing protocol do giá trị CRV thế chấp cao và tính thanh khoản CRV on-chain thấp.
Sự mất cân bằng này đã tạo ra một tình huống đầy thách thức, có khả năng khiến các giao thức này tích lũy nợ xấu.
Ảnh hưởng tới những người tham gia veCRV và các protocol xây dựng trên Curve Finance
Hậu quả cũng mở rộng đến những người chơi veCRV, bao gồm cả các nhà đầu tư bán lẻ và các giao thức khác.
Khi giá của CRV giảm xuống, những người nắm giữ veCRV, những người đã khóa CRV của họ để có quyền biểu quyết theo hướng phát thải CRV, sẽ phải chịu phần lớn thiệt hại khi họ không thể bán CRV của mình.
Tổng kết
Tình thế của Curve Finance đã tốt hơn chút ít nhờ các hành động và phản ứng nhanh chóng của nhóm cốt lõi tuy nhiên rủi ro vẫn còn.
Nó nhấn mạnh tầm quan trọng của việc quản lý rủi ro mạnh mẽ trong các dự án DeFi để giải quyết những khó khăn tương tự trong tương lai.