Curve, nền tảng giao dịch phi tập trung chạy trên Ethereum đã bị tấn công khai thác vào 30/7. Rạng sáng 31/7, pool CRV/ETH đã bị tấn công, thất thoát 7 triệu CRV (4 triệu USD) và 14 triệu USD WETH. Đáng chú ý, vụ tấn công xảy ra chỉ ít phút trước khi các hacker mũ trắng tiến hành một chiến dịch giải cứu những pool thanh khoản bị ảnh hưởng trước đó.
Số tiền điện tử trị giá lên tới 100 triệu đô la có nguy cơ gặp rủi ro do lỗi “re-entrancy” trong Vyper, một ngôn ngữ lập trình được sử dụng để cung cấp năng lượng cho các bộ phận của hệ thống Curve. Một số pool stablecoin trên nền tảng — được sử dụng để định giá và thanh khoản trên một số dịch vụ DeFi khác nhau — cho đến nay đã bị hacker rút cạn.
Các dự án khác sử dụng ngôn ngữ lập trình Vyper có thể gặp lỗ hổng tương tự.
BlockSec, một công ty kiểm toán blockchain, đã ước tính tổng thiệt hại trên 42 triệu đô la trong một phân tích sơ bộ được đăng lên Twitter.
Theo trang web của Curve, Curve vận hành 232 pool khác nhau, nhưng chỉ những pool sử dụng Vyper phiên bản 0.2.15, 0.2.16 và 0.3.0 mới gặp rủi ro, mimaklas, một thành viên của nhóm cho biết.
Mimaklas cũng nói rằng “tất cả các pool bị ảnh hưởng đã bị rút cạn và nhóm đang đánh giá tình hình với các pool bị ảnh hưởng.”
Vào thời điểm viết bài, đã có 16,9 triệu USD được khôi phục.
Vụ trộm đã khiến token CRV gốc của Curve DAO giảm gần 17% trong ngày và giao dịch ở 0,61 đô la vào thời điểm viết bài. Hành động giá đó có nguy cơ làm trầm trọng thêm sự hỗn loạn vì nó có khả năng buộc nhà sáng lập phải thanh lý khoản vay 70 triệu đô la của Curve trên Aave.
Nguồn: TradingView
Những vụ tấn công liên quan đến pool thanh khoản của Curve
Câu chuyện đã bắt đầu từ tuần trước (21/7), khi Conic Finance bị bòn rút tài sản vì có một vài liên hệ với LP Token trên Curve Finance.
Sau đó, vào tối 30/7, dự án Lending NFT JPEG’d cũng thông báo bị tấn công khai thác pool thanh khoản pETH-ETH trên Curve Finance, thất thoát 11 triệu USD.
Một dự án khác cũng trở thành nạn nhân trong tối 30/7 là Metronome với thiệt hại 1,6 triệu USD.
alETH của Alchemix cũng bị tấn công và khởi nguồn từ một pool thanh khoản trên Curve, thiệt hại ước tính 13,6 triệu USD.
Sau đó, tiếp tục có báo cáo về việc lỗ hổng đã được ghi nhận tại deBridge và Ellipsis, với tổng thiệt hại tính đến ngày 31/7 là 26,76 triệu USD.
Annie
Tạp chí Bitcoin