05/08/2023 05:20 read

122

Khai thác Curve-vyper: toàn bộ câu chuyện cho đến nay

Các Pool của Curve Finance đã bị tin tặc nhắm đến trong một cuộc tấn công vào lại vào ngày 30 tháng 7, gây chấn động khắp hệ sinh thái DeFi. Cointelegraph đã tổng hợp các sự kiện trong tuần.

Hệ sinh thái tài chính phi tập trung (DeFi) đã trải qua một tuần đầy thách thức sau sự cố an ninh địa chấn khiến hơn 61 triệu đô la bị đánh cắp từ Pool của Curve Finance, khiến một số giao thức phải đối mặt với rủi ro lây lan rộng hơn.

Cuộc tấn công này đã làm lộ ra các lỗ hổng trong các dự án DeFi và gây ra nỗ lực thu hồi số tiền bị đánh cắp trong vài ngày qua.

Khi cộng đồng điều hướng hậu quả của vụ khai thác này, Cointelegraph đã tổng hợp các sự kiện trong tuần, trình bày dòng thời gian về những gì đã xảy ra kể từ vụ hack vào ngày 30 tháng 7.

Vụ hack: WSGDOODGLW của Curve Finance bị khai thác với giá hơn 61 triệu đô la do lỗ hổng đăng nhập lại

Một số Pool ổn định trên Curve Finance sử dụng ngôn ngữ lập trình Vyper đã bị khai thác vào ngày 30 tháng 7, với mức thiệt hại lên tới hơn 61 triệu USD (tổng thiệt hại ước tính ban đầu là 47 triệu USD). Lỗ hổng được tìm thấy trên các phiên bản Vyper 0.2.15, 0.2.16 và 0.3.0.

Một số dự án DeFi đã bị ảnh hưởng bởi cuộc tấn công. Nền tảng giao dịch phi tập trung (DEX) Ellipsis đã báo cáo rằng một số lượng nhỏ Pool ổn định với BNB (BNB) đã bị khai thác bằng trình biên dịch Vyper cũ. Alchemix alETH-ETH cũng chứng kiến 13,6 triệu đô la bị rút ra ngoài do cuộc tấn công, cùng với 11,4 triệu đô la bị khai thác trên JPEGd pETH-ETH Pool và 1,6 triệu đô la từ Metronome sETH-ETH Pool. Giám đốc điều hành Curve Finance Michael Egorov cũng xác nhận rằng 32 triệu Token Curve DAO (CRV) trị giá hơn 22 triệu đô la đã bị rút khỏi giao dịch hoán đổi Pool.

Michael Egorov của Curve đã xác nhận vụ đánh cắp 32 triệu Token Curve DAO vào ngày 30 tháng 7. Nguồn: Telegram/LobsterDAO

Chuỗi thông minh BNB (BSC) cũng là nạn nhân của các cuộc tấn công bắt chước do cùng một lỗ hổng, với khoảng 73.000 đô la tiền điện tử trên BSC đã bị đánh cắp qua ba lần khai thác.

Kể từ khi tin tức về vụ khai thác được tung ra, các hacker mũ trắng và mũ đen đã lợi dụng nó khi giao dịch, cố gắng phá vỡ các nỗ lực khai thác hoặc nỗ lực thu hồi tiền của nhau.

Điều tra sơ bộ đã phát hiện ra rằng một số phiên bản của trình biên dịch Vyper đã không triển khai chính xác tính năng bảo vệ vào lại, điều này ngăn nhiều chức năng được thực thi cùng lúc bằng cách khóa hợp đồng.

Tác động: Lỗ hổng Vyper khiến hệ sinh thái DeFi phải đối mặt với các test căng thẳng; CRV giảm giá mạnh

Sự cố bảo mật đã khiến các giao thức DeFi phải đối mặt với một test căng thẳng trong những ngày tiếp theo, làm dấy lên mối lo ngại về tác động của việc khai thác đối với hệ sinh thái tiền điện tử — đặc biệt là vì lỗ hổng có thể khiến tất cả các Pool có Wrapped Ether (WETH) có nguy cơ bị tấn công.

Vyper là ngôn ngữ lập trình hợp đồng được thiết kế cho Máy ảo Ethereum. Nó được coi là một trong những ngôn ngữ lập trình Web3 được sử dụng rộng rãi nhất, có nghĩa là lỗi trong ba phiên bản của nó có thể đe dọa một số giao thức khác.

Việc khai thác cũng dẫn đến một trong những khối phần thưởng có giá trị có thể trích xuất tối đa (MEV) lớn nhất từ trước đến nay là 584,05 Ether (ETH). Theo nhà phát triển lõi Ethereum eric.eth, bot đã nhận thấy một vụ hack sắp xảy ra trong memPool, sao chép giao dịch và chạy trước nó. Để làm như vậy, họ trả cho nhà sản xuất khối rất nhiều ETH để đứng đầu hàng, anh ấy giải thích. Các bot MEV có thể thấy các giao dịch bán tháo đang chờ xử lý và chạy trước chúng để mua tài sản bán tháo trước với giá chiết khấu.

Today has produced some of the largest MEV reward blocks in Ethereum’s history.

Slot 6,992,273: 584 ETH
Slot 6,993,342: 345 ETH
Slot 6,992,050: 247 ETH
Slot 6,993,346: 51 ETH
— eric.eth (@econoar) July 30, 2023

CEO Curve hối hả trả các khoản vay thế chấp

Các mối đe dọa ở những nơi khác cũng có thể gây ra hiệu ứng gợn trên DeFi. Người sáng lập Curve Finance, Michael Egorov, có khoản vay khoảng 100 triệu đô la được hỗ trợ bởi 47% nguồn cung lưu hành của Token gốc giao thức, CRV.

Tuy nhiên, giá CRV đã giảm gần 30% sau vụ hack, xuống mức thấp nhất là 0,48 đô la trong bối cảnh lo ngại rằng các khoản vay thế chấp của Egorov sẽ bị bán tháo.

Để giảm bớt khoản nợ của mình, Egorov đã bán 39,25 triệu Token CRV cho một số nhà đầu tư DeFi đáng chú ý, bao gồm Justin Sun, Machi Big Brother và DWF Labs, với tổng số tiền là 15,8 triệu đô la. Người mua đã mua CRV với giá 0,4 đô la cho mỗi Token, giảm 25% so với giá thị trường vào thời điểm đó. Ngoài ra, Egorov đã thanh toán một phần hai khoản vay trên Aave và Frax Finance.

Nguồn cấp dữ liệu giá CEX ngăn giá Curve sụp đổ

Giá Token CRV đã giảm trên thị trường DeFi do một số Pool bị cạn kiệt đáng kể; tuy nhiên, cuối cùng nó đã được cứu bởi nguồn cấp dữ liệu giá của nền tảng giao dịch tập trung (CEX). Giá CRV đạt 0,086 đô la trên DEX nhưng được giao dịch ở mức 0,60 đô la trên CEX, ngăn không cho giá Token giảm xuống 0.

Sự việc trớ trêu đã thu hút sự chú ý của Giám đốc điều hành Binance Changpeng Zhao, người đã cười khúc khích khi biết rằng, cuối cùng, chính nguồn cung cấp giá CEX đã cứu giao thức DeFi.

Cũng phản ứng với một môi trường không chắc chắn, stablecoin gốc Curve, crvUSD, đã hạ giá một thời gian ngắn vào ngày 3 tháng 8. Đồng stablecoin thuật toán này đã giảm tới 0,35% trước khi lấy lại tỷ giá cố định của nó với đồng đô la Mỹ. Mới ra mắt gần đây, crvUSD sử dụng một cơ chế duy trì chốt của nó được gọi là thuật toán PegKeeper, đảm bảo rằng giá trị crvUSD được hỗ trợ hợp lý bằng tài sản thế chấp đồng thời cân bằng cung và cầu.

Cộng đồng DeFi: Hacker đạo đức lấy lại 5,4 triệu đô la cho Curve Finance trong khi khai thác

Trong cuộc khủng hoảng, cộng đồng DeFi đã đứng về phía Curve Finance. Vào ngày 31 tháng 7, một hacker mũ trắng đã lấy được khoảng 2.879 Ether trị giá khoảng 5,4 triệu USD từ một kẻ khai thác và trả lại ETH cho Curve Finance. Vài giờ sau, một hacker đạo đức khác đã thu giữ gần 3.000 ETH và trả lại ETH cho địa chỉ của người triển khai Curve.

Giữa những lo ngại về việc bán tháo xung quanh các khoản vay của Egorov, Jun Du, người đồng sáng lập Huobi, đã mua 10 triệu chiếc CRV với giá 4 triệu USD từ Giám đốc điều hành Curve. Ngoài ra, người sáng lập Aave Chan, Marc Zeller, đã đề xuất Kho bạc Aave mua Token CRV trị giá 2 triệu đô la Mỹ từ giao thức. Theo đề xuất, việc mua lại sẽ báo hiệu rằng những người chơi DeFi hỗ trợ sức khỏe của hệ sinh thái.

What about crvUSD? How does its price react to shock events, does it depeg?

Events of recent days felt similar to SVB/USDC situation in some sense. However, crvUSD had just a 0.35% dip, and currently 0.1% from the peg pic.twitter.com/HaMfbkiFSR
— Curve Finance (@CurveFinance) August 3, 2023

Nền tảng cho vay liên chuỗi Abracadabra Money cũng đề xuất tăng lãi suất đối với các khoản cho vay chưa thanh toán để quản lý rủi ro liên quan đến việc tiếp xúc với CRV.

Hoàn vốn: Curve, Metronome và Alchemix cung cấp 10% tiền thưởng lỗi; hacker lấy nó

Vào ngày 3 tháng 8, Curve, Metronome và Alchemix đã cùng nhau công bố một sáng kiến nhằm thu hồi số tiền bị đánh cắp từ các lần khai thác gần đây của Curve Pool. Các giao thức cung cấp 10% tiền thưởng của số tiền bị tịch thu như một phần thưởng, thúc giục những người chịu trách nhiệm khai thác bước tiếp và trả lại 90% còn lại, điều này sẽ mang lại số tiền thưởng gần 7 triệu đô la Mỹ.

Ưu đãi đi kèm với sự đảm bảo không có thêm hành động pháp lý hoặc sự tham gia của cơ quan thực thi pháp luật. Chúng tôi muốn giải quyết vấn đề này một cách văn minh," các giao thức đã viết cho hacker.

Trong vòng chưa đầy 24 giờ, vào ngày 4 tháng 8, kẻ tấn công ban đầu cho vụ khai thác trị giá hàng triệu đô la dường như đã chấp nhận đề nghị tiền thưởng và bắt đầu trả lại số tiền bị đánh cắp vài ngày trước đó. Tin tặc đã gửi lại 4.820,55 Alchemix ETH (alETH), trị giá khoảng 8.889.118 USD, cho nhóm Alchemix Finance, cũng như 1 ETH, khoảng 1.844 USD, cho nhóm Curve Finance.

Kẻ tấn công cũng đã đăng một thông báo dường như nhắm vào nhóm Alchemix và Curve, tuyên bố sẵn sàng trả lại tiền nhưng chỉ vì người đó không muốn làm hỏng các dự án liên quan chứ không phải vì kẻ tấn công đã bị bắt.