Sau sự cố của Conic Finance và JPEG'd, hàng loạt các dự án có liên quan đến pool thanh khoản trên Curve Finance cũng bị tấn công.
Các pool thanh khoản trên Curve Finance liên tục bị tấn công. Ảnh: Protos
Những vụ tấn công liên quan đến pool thanh khoản của Curve
Câu chuyện không chỉ bắt đầu từ tuần này, mà thậm chí là từ tuần trước (21/07), khi Conic Finance bị bòn rút tài sản vì có một vài liên hệ với LP Token trên Curve Finance.
Sau đó, vào tối 30/07, dự án Lending NFT JPEG'd cũng thông báo bị exploit pool thanh khoản pETH-ETH trên Curve Finance, thất thoát số tiền lên đến 11 triệu USD.
There was an attack on the pETH-ETH curve pool.
— JPEG'd (@JPEGd_69) July 30, 2023
The vault contracts allowing to borrow against NFTs are safe and still running solidly. NFTs and the treasury funds are safe. We’ll keep everyone updated as soon as we know better what is happening.
We’ve been looking into the…
Một dự án khác cũng được réo tên trong tối 30/07 là Metronome với thiệt hại sau vụ exploit là 1,6 triệu USD.
Another curve pool (this time Metronome Synth ETH) hit by a similar exploit for $1.6m profit pic.twitter.com/1vcZMwOTT7
— Spreek (@spreekaway) July 30, 2023
alETH của Alchemix cũng là nạn nhân và cũng khởi nguồn từ một pool thanh khoản trên Curve, thiệt hại ước tính 13,6 triệu USD.
alETH curve pool hit (possibly whitehat, i saw team in discussion with security?) for 13.6m pic.twitter.com/c5snocg8jz
— Spreek (@spreekaway) July 30, 2023
Sau đó, tiếp tục có báo cáo về việc lỗ hổng đã được ghi nhận tại deBridge và Ellipsis, với tổng thiệt hại tính đến 00:00 AM ngày 31/07 là 26,76 triệu USD.
#PeckShieldAlert There are $26.76M exploited so far from @AlchemixFi, @JPEGd_69, @MetronomeDAO, @DebridgeFinance and @Ellipsisfi pic.twitter.com/SXGG9m9Nww
— PeckShieldAlert (@PeckShieldAlert) July 30, 2023
Vậy lý do là gì?
Ở thời điểm bài viết, vẫn chưa có một báo cáo chi tiết về lí do chính xác của hàng loạt vụ exploit liên quan đến pool thanh khoản của Curve. Hiện tại, có 2 lí do chính được cộng đồng phỏng đoán.
Đầu tiên là những lỗ hổng trong 3 phiên bản 0.2.15/0.2.16/0.3.0 của ngôn ngữ lập trình VyperLang. Theo đó, bộ lọc chống tấn công Re-Entrancy của các phiên bản mới không khả dụng, dẫn đến việc hàng loạt vụ tấn công tạo vòng lập nhằm rút tiền từ các pool thanh khoản.
Một lí do khác, được chia sẻ trong một tài liệu của ChainSecurity, đó là hàm "get_virtual_price" (vốn để xác định giá thị trường của các LP Token) của Curve Finance có thể được tận dụng để các hacker Re-Entrancy, thao túng chỉ số giá oracle và từ đó tạo vòng lặp rút tiền.
Tài liệu trên từ ChainSecurity cho rằng lỗ hổng này không ảnh hưởng đến nội bộ các pool Curve, thay vào đó, nó khiến các nền tảng sử dụng LP Token của Curve để làm tài sản thế chấp có thể bị rút tiền dưới dạng khoản vay khống.
Như vậy, từ những dữ kiện trên, có thể thấy các vụ tấn công cũ như Conic nhiều khả năng là trường hợp 2. Còn các vụ exploit mới đây với nội bộ các pool của Curve (Alchemix, JPEG'd hay Metronome) có thể nó đến từ trường hợp đầu tiên.
Cập nhật từ đội ngũ
Từ những chia sẻ từ đội ngũ Curve, hiện tại các pool Volatile và các pool liên quan đến stETH,frxETH, cbETH, rETH, sETH vẫn an toàn.
Curve team looking into potential other pools at risk. steth, frxeth,cbeth,reth,seth are fine. pic.twitter.com/LvRyaNOae3
— Spreek (@spreekaway) July 30, 2023
Curve sau đó cũng xác nhận việc các pool thanh khoản kể trên gặp vấn đề liên quan đến ngôn ngữ lập trình Vyper phiên bản 0.2.15, 0.2.16 và 0.3.0. Cả dự án lẫn đơn vị phát triển Vyper đều tuyên bố đang điều tra nguyên nhân và kêu gọi các bên bị ảnh hưởng liên hệ trực tiếp đến họ.
A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.
— Curve Finance (@CurveFinance) July 30, 2023
Other pools are safe. https://t.co/eWy2d3cDDj
Một chuyên gia bảo mật ẩn danh có tài khoản Twitter là pcaversaccio tuyên bố đang tiến hành "một chiến dịch giải cứu quy mô lớn" cho các pool có nguy cơ liên đới, kêu gọi những dự án bị ảnh hưởng hãy liên hệ.
We're running a large white hat rescue operation. Please reach out if you think you're affected as a project. https://t.co/tssWcRHg35
— sudo rm -rf --no-preserve-root / (@pcaversaccio) July 30, 2023
Token CRV cũng đang có một vài biến động nhất định, giảm hơn 4,5% về 0.699 USD.
Đồ thị 15m của cặp CRV/USDT trên sàn Binance vào lúc 11:50 PM ngày 30/07/2023
Coin68 tổng hợp
Tham gia thảo luận về những vấn đề NÓNG HỔI nhất của thị trường DeFi tại nhóm chat Fomo Sapiens cùng các admin Coin68 nhé!!!