Melihat keseluruhan kisah penyerangan terhadap Curve, potensi dampaknya terhadap DeFi baru saja dimulai?

Penulis: Bankless

Disusun oleh: Felix, PANews

Kerentanan dalam bahasa pemrograman kontrak pintar Vyper telah menempatkan DeFi pada risiko peristiwa penularan karena kumpulan dana terkuras dan ancaman likuidasi membayangi.

Vektor Serangan

Pada dini hari tanggal 31 Juli, bahasa pemrograman kontrak pintar Vyper men-tweet bahwa kunci anti-masuk kembali Vyper versi 0.2.15, 0.2.16 dan 0.3.0 tidak valid. Pelaku jahat menggunakan serangan re-entrancy untuk berulang kali menandatangani ulang kontrak, menyebabkan operasi yang tidak sah atau pencurian dana. Beberapa proyek penting, termasuk Curve Finance, diserang sebagai hasilnya, dan jumlah yang awalnya diperkirakan telah dieksploitasi setinggi $70 juta. Sebagian dari dana ini dipegang oleh peretas topi putih dan bot MEV dan dapat dipulihkan.

Kurva Bom

Empat kumpulan dana CRV/ETH, alETH/ETH, msETH/ETH, dan pETH/ETH dalam ekosistem Curve diserang, dan lebih dari $45 juta likuiditas telah ditransfer dari protokol peminjaman Alchemix, aset sintetik Metronom, dan Platform peminjaman NFT, JPEG'd Loss in the pool, hampir $25 juta mengalir keluar dari CRV/ETH pool. Kumpulan lain yang berpotensi terpengaruh adalah kumpulan Arbitrum Tricrypto, tetapi auditor dan pengembang Vyper belum menemukan kerentanan yang dapat dieksploitasi.

Selain itu, menurut data DefiLlama, total lock-up volume (TVL) Curve Finance turun dari US$3,266 miliar pada 30 Juli menjadi US$1,869 miliar, penurunan 24 jam sebesar 42,78%.

CRV****Fluktuasi Harga

Pertukaran terpusat menunjukkan harga CRV mencapai titik terendah di $0,583, tetapi token mencapai titik terendah $0,109 on-chain. Setelah kumpulan CRV/ETH diretas, likuiditas CRV pada rantai menjadi buruk, mengakibatkan fluktuasi harga pada rantai.

Terlepas dari penjualan CRV yang brutal, para peretas masih menghasilkan uang. Kegagalan untuk memulihkan akan mengakibatkan penjualan CRV, yang dapat berdampak serius pada protokol peminjaman. Saat ini, dompet tersebut masih menyimpan 7 juta CRV (sekitar $4,5 juta).

Peringatan Meminjam

Pendiri Curve Michael Egorov telah mengamankan sejumlah besar pinjaman terhadap CRV-nya pada berbagai protokol pinjaman, yang terbesar ada di Aave. Jika harga CRV mencapai ambang likuidasi, protokol akan dipaksa untuk melikuidasi posisi CRV. Menurut statistik peneliti enkripsi 0xLoki, Michael Egorov saat ini menggadaikan 292 juta CRV (181 juta dolar AS) dan meminjamkan 110 juta dolar AS, terutama didistribusikan di:

1. 190 juta CRV digadaikan di AAVE, dan 65 juta USD dipinjam, dengan harga likuidasi 0,37 USD;

2. Hipotek 46 juta CRV pada FRAXlend, pinjam 21 juta FRAX, dan harga likuidasi adalah 0,4 USD;

3. Abracadabr menyetor 40 juta CRV, meminjamkan 18 juta dolar AS, dan harga likuidasi adalah 0,39 dolar AS;

4. Setor 16 juta CRV di Inverse, pinjamkan 7 juta dolar AS, dan harga likuidasi adalah 0,4 dolar AS.

Dalam 6 jam terakhir, Egorov menyetor sekitar 10 juta CRV di AAVE dan Abracadabra.

Pengembalian****Uang Gila

Michael Egorov telah melunasi hutang pinjaman untuk menghindari likuidasi saat penjualan. Ambang likuidasi baru untuk pinjaman Michael Egorov di Aave telah diturunkan menjadi $0,37 sehubungan dengan upaya pembayaran kembali.

PERINGATAN

Likuiditas on-chain diketahui tidak cukup untuk melikuidasi posisi Michael Egorov. Bulan lalu, firma manajemen risiko DeFi Gauntlet berusaha membekukan pasar CRV Aave, tetapi proposal mereka ditolak dengan suara bulat.

Likuiditas di kumpulan CRV/ETH Curve telah menghilang. Dengan likuiditas CRV turun bahkan lebih rendah daripada yang disarankan Gauntlet, utang macet tampaknya tak terelakkan jika posisi dilikuidasi.

DeFi Overflow

Dalam hal terjadi piutang tak tertagih, perjanjian pinjam meminjam harus menggunakan dana asuransi. Misalnya, Aave akan menjual token AAVE dari modul keamanannya untuk menutupi kekurangan apa pun, tetapi penjualan tersebut akan mengurangi nilai agunan yang tersisa.

Dampak Likuiditas

Volatilitas yang meluas dan sisa yang tidak diketahui akan menyebabkan banyak orang menghapus likuiditas dari Curve. Karena likuiditas pada Curve dan DEX on-chain lainnya terus berkurang, harga akan menjadi semakin tidak stabil.

Penarikan Pemberi Pinjaman

Pemberi pinjaman berlomba untuk menarik uang dari perjanjian pasar uang. Tingkat pemanfaatan kumpulan USDT Aave melebihi 50%, dan tingkat pinjaman melonjak hingga 91%, memberikan tekanan besar pada posisi Michael Egorov: jika suku bunga tidak turun, itu akan dilikuidasi dalam beberapa hari.

Meskipun kerusakan pada kumpulan Curve mungkin telah terjadi, dampak potensial dari eksploitasi ini pada DeFi mungkin baru saja dimulai. Perjanjian pinjaman dengan pasar CRV berisiko, jika bukan kebangkrutan, dari beberapa kredit macet yang serius.

Bacaan terkait: Kerugian lebih dari 50 juta dolar AS, sebuah artikel untuk memilah serangan berantai yang disebabkan oleh kegagalan bahasa pemrograman Vyper