Các pool thanh khoản trên Curve Finance liên tiếp bị tấn công

Các cuộc tấn công liên quan đến pool thanh khoản của Curve

Câu chuyện không chỉ bắt đầu từ tuần này, mà thậm chí từ tuần trước (21/07), khi Conic Finance bị rút sạch tài sản do có một số liên hệ với LP Token trên Curve Finance.

Tiếp theo, vào tối ngày 30/07, dự án Lending NFT JPEG'd cũng thông báo bị tấn công và mất hơn 11 triệu USD từ pool thanh khoản pETH-ETH trên Curve Finance.

Vào tối ngày 30/07, dự án Metronome cũng bị tấn công và ghi nhận tổn thất lên đến 1,6 triệu USD.

Alchemix cũng bị ảnh hưởng khi token alETH của họ bị tấn công từ một pool thanh khoản trên Curve, với thiệt hại ước tính lên đến 13,6 triệu USD.

Sau đó, tiếp tục xảy ra lỗ hổng được xác nhận tại deBridge và Ellipsis, với tổng thiệt hại tính đến 00:00 AM ngày 31/07 là 26,76 triệu USD.

Vậy lý do là gì?

Tại thời điểm hiện tại, vẫn chưa có một báo cáo chi tiết về nguyên nhân chính xác của hàng loạt vụ exploit liên quan đến pool thanh khoản của Curve. Cộng đồng đang phỏng đoán có hai lí do chính cho những sự cố này.

Có hai nguyên nhân chính được cộng đồng đang phỏng đoán về hàng loạt vụ exploit liên quan đến pool thanh khoản của Curve. Đầu tiên là vì những lỗ hổng trong 3 phiên bản 0.2.15/0.2.16/0.3.0 của ngôn ngữ lập trình VyperLang. Bộ lọc chống tấn công Re-Entrancy của các phiên bản mới không khả dụng, dẫn đến việc hàng loạt vụ tấn công tạo vòng lặp nhằm rút tiền từ các pool thanh khoản.

Một lí do khác, được nêu trong tài liệu của ChainSecurity, là hàm "get_virtual_price" của Curve Finance có thể bị tận dụng bởi các hacker để thực hiện Re-Entrancy, thao túng chỉ số giá oracle và từ đó tạo vòng lặp rút tiền. Hàm này ban đầu được sử dụng để xác định giá thị trường của các LP Token.

Theo tài liệu từ ChainSecurity, lỗ hổng này không ảnh hưởng đến các pool Curve nội bộ, mà thay vào đó, nó có thể khiến các nền tảng sử dụng LP Token của Curve làm tài sản thế chấp có thể bị rút tiền dưới dạng khoản vay không chính thống.

Từ những thông tin trên, có thể thấy rằng các vụ tấn công cũ như Conic có khả năng thuộc vào trường hợp 2. Trong khi đó, các vụ exploit gần đây trong nội bộ các pool của Curve (như Alchemix, JPEG'd và Metronome) có thể liên quan đến trường hợp đầu tiên.

Cập nhật từ đội ngũ

Đội ngũ Curve đã chia sẻ rằng, hiện tại các pool Volatile và các pool liên quan đến stETH, frxETH, cbETH, rETH, sETH vẫn đảm bảo an toàn.

Sau đó, Curve cũng xác nhận rằng các pool thanh khoản kể trên gặp vấn đề liên quan đến ngôn ngữ lập trình Vyper phiên bản 0.2.15, 0.2.16 và 0.3.0. Cả dự án lẫn đơn vị phát triển Vyper đều tuyên bố đang tiến hành điều tra nguyên nhân và kêu gọi các bên bị ảnh hưởng liên hệ trực tiếp với họ.

Một chuyên gia bảo mật ẩn danh có tài khoản Twitter với tên pcaversaccio tuyên bố đang thực hiện "một chiến dịch giải cứu quy mô lớn" cho các pool có nguy cơ liên quan, và kêu gọi các dự án bị ảnh hưởng hãy liên hệ với anh ấy.

Giá token CRV hiện đang có biến động nhất định, giảm hơn 4,5% xuống còn 0,699 USD.

Thảo luận thêm tại: Email | Telegram | Facebook | Channel | YouTube | TikTok