Curve Finance TVL giảm hơn 1 tỷ USD do khai thác Vyper

Sau cuộc tấn công, token CRV của Curve trở nên biến động mạnh, làm dấy lên lo ngại về sự lây lan.

Theo dữ liệu của DeFiLlama, tổng giá trị tài sản bị khóa trong giao thức tài chính phi tập trung Curve Finance (CRV) đã giảm mạnh gần 50% trong 24 giờ qua, từ 3,26 tỷ đô la được ghi nhận vào ngày 30 tháng 7 xuống còn 1,731 tỷ đô la.

Dòng tiền chảy ra ngoài có thể là do việc khai thác giao thức, điều này làm gia tăng mối lo ngại về việc thanh lý và nợ khó đòi giữa các thành viên cộng đồng, những người đã ngay lập tức rút tài sản khỏi dự án tiền điện tử.

Nguồn: DefiLlama

Lỗ hổng Vyper ảnh hưởng đến tài chính Curve

Vào ngày 30 tháng 7, một "lỗ hổng khóa đăng nhập lại" bị lỗi đã được phát hiện trên nhiều phiên bản của ngôn ngữ hợp đồng thông minh Ethereum (ETH) Virtual Machine (EVM) Vyper. Ngôn ngữ lập trình đã xác nhận sự cố, tiết lộ rằng các dự án tiền điện tử chạy Vyper 0.2.15, 0.2.16 và 0.3.0 có thể bị ảnh hưởng.

Sau tin tức, Curve Finance tuyên bố rằng một số nhóm khai thác ổn định của họ chạy Vyper 0.2.15 đã khai thác lỗ hổng lỗi khóa truy cập lại.

Cuộc tấn công vào lại cho phép kẻ tấn công rút tiền của một hợp đồng dễ bị tấn công bằng cách liên tục gọi chức năng rút tiền trước khi cập nhật số dư và cuộc tấn công này thường được sử dụng để khai thác nhiều giao thức DeFi.

Công ty bảo mật chuỗi khối BlockSec cho biết các cuộc tấn công vào lại có thể gây rủi ro tiềm ẩn cho tất cả các nhóm khai thác bằng ether được bao bọc (WETH).

Mặc dù không rõ số tiền đã bị đánh cắp từ nhóm stablecoin của Curve Finance, nhưng một số ước tính cho thấy có thể có tới 70 triệu đô la đã bị đánh cắp.

Tuy nhiên, nhà phát triển MetaMask Taylor Monahan đã chỉ ra "rất nhiều hoạt động mũ trắng + bot MEV tự động", có nghĩa là có thể có ít hơn.

** Giá xe CRV bình **

Theo dữ liệu, lỗi này đã khiến mã thông báo CRV của Curve có tính biến động cao, với giá của nó giảm mạnh khoảng 15% xuống còn 0,64707 đô la tại thời điểm viết bài.

Trong khi đó, giá trị on-chain của CRV giảm xuống mức thấp nhất là $0,109 do tính thanh khoản giảm dần sau khi nhóm CRV/ETH bị tấn công.

Sàn giao dịch tiền điện tử của Hàn Quốc Upbit đã tạm dừng gửi và rút mã thông báo, trích dẫn một lỗi được tìm thấy trên nền tảng của dự án DeFi. Sàn giao dịch cảnh báo thêm rằng giá của CRV đang “có sự biến động đáng kể”.

Nợ xấu và nỗi lo chồng chất

Vì tin tặc đang nắm giữ một lượng lớn CRV nên có lo ngại rằng nếu họ bắt đầu bán, giá của mã thông báo có thể giảm hơn nữa. Điều này tạo ra nguy cơ lây lan, vì người sáng lập Curve, Michael Egorov, sử dụng mã thông báo làm tài sản thế chấp trên một số giao thức cho vay, bao gồm cả Aave.

Vì Egorov có hơn 100 triệu đô la CRV làm tài sản thế chấp trên Aave, Inverse và Abracadabra, nên việc thanh lý do giá CRV giảm sẽ ảnh hưởng đến Curve và tất cả các giao thức.

Để tránh bị thanh lý, Egorov đã hoàn trả một phần khoản vay. Tuy nhiên, điều này có thể không ngăn được nợ xấu và tác động lan tỏa đối với các thỏa thuận cho vay khác mà Curve phải chịu.

Đồng thời, phiên bản Aave Ethereum v2 đã đóng chức năng cho vay CRV. Theo các báo cáo, điều này có khả năng ngăn các nhà giao dịch sử dụng lỗ hổng Curve để gây hoảng loạn và bán khống CRV đã vay một cách ác ý để thúc đẩy thanh lý hàng loạt.